[Owasp-turkey] RE: ADSL Modem (Yonetici Arayuzu) Güvenliği - TR [not]

Bedirhan Urgun urgunb at hotmail.com
Sat Oct 20 12:34:57 EDT 2007


 o-game yoneticilerinin haberleri var, uzun bi sure onlarla diyalog icindeydik zaten, makalenin yayinlanacagini da biliyorlardi.
 modem meselesinde ise bu isi zaten baska birileri yapmis (airties'a ve tt'e haber verme isini), airties da yama cikarmis, bunun referansi notta var.
 
 onemli olan o, su, bu aciklik degil. Bakalim uzman gorusu nedir, bildiri-not-arastirma ya da herneyse bilgilendirici/egitici olsa bile? Tabi daha once birebir tecrubesi olanlar varsa onlardan da duymak guzel olur.
 
 P.S: etkinlik (ler) duyurusunu 1-2 hafta icinde yapacagiz.
 bedirhan


Date: Fri, 19 Oct 2007 23:19:47 +0300From: bunyamindemir at gmail.comTo: keremskusmezer at gmail.comCC: owasp-turkey at lists.owasp.orgSubject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) Güvenliği - TR [not]Biri O-game e de haber etsinde bize dava açsınlar, onlar geç kalmış.
19.10.2007 tarihinde Bedirhan Urgun < urgunb at hotmail.com> yazmış: 

 merhaba, evet ingiltere'deki hadiseyi hatirliyorum, bize de ayni sey olursa benden fotografci da olmaz :). (gerci adam hakkindaki dava sonradan geri cekilmisti diye hatirliyorum) herneyse... kanun boyutunu her ne kadar gecen yaptigimiz etkinlikte (OWASP gunu) ogrensem de, konu hakkinda cok saglikli yorum yapamayacagim (zaten kanundan cok iyi anlamiyorsak biraz zor). O nedenle Adalet Bakanligi'nda calisan İnternet ve Portal Şube Müduru tanidigim bir hakim beye ilettim. Kendisi ayni zamanda 24 Kasim'da duzenleyecegimiz Ankara etkinligine de katilacaklar (simdiden ufak duyurusunu yapayim dedim). Hakim Beyin c evabina gore ve yaziyi beraber hazirladigimiz Gokhan ile konustuktan sonra notu simdilik kapatiyorum. ( http://www.webguvenligi.org/wp-content/uploads/2007/09/modem/index.htm)  ilginiz icin tesekkurler. Ama konuyu irdelemek acisindan, listedeki diger arkadaslar da fikirlerini soylerse cok iyi olurdu.  bedirhan


Date: Fri, 19 Oct 2007 17:49:26 +0300From: keremskusmezer at gmail.comTo: urgunb at hotmail.comSubject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) Güvenliği - TR [not]CC: owasp-turkey at lists.owasp.org 

Merhabalar,
 
Tarama raporunuz hakkında ufak ayrıntılar:
 
+ Her ne kadar tarama güvenlik güncellemesi çıkmış olsa bile, ben su anda mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS atağı gerçekleştirebilirim. 
 
+ 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun başına gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir sitede non intrusive bir sekilde sql injection testi yapmasıydı. Ingilterede meslekten men ve agir para cezasına çarptırıldı. 
 
+ Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla yapilan karsi modeme giriş yapılması Bilişim Kanununa gore bilisim sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu gosteriyor ve bence OWASP adi altında boyle bir girisimin gerceklesmesi organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir. 
 
Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi gerek OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin cezai bir yaptirima ugrama risklerini ortadan kaldiracaktir.Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum. 
Saygilarimla
Kerem Kusmezer 
15.10.2007 tarihinde Bedirhan Urgun <urgunb at hotmail.com > yazmış: 

Merhaba, "Ülkemizdeki ADSL modem yönetim arayüzlerinin güvenliği hakkında spesifik bir çalışma ile önceden bilinen (Şubat 2007) ve bazı forumlarda yer bulan 'yetersiz yetkilendirme' açıklığının şaşırtıcı sonucunu ve çözüm ..."  http://www.webguvenligi.org/?p=83 adresinden nota ulasabilirsiniz. bedirhan 
 

Windows Live Hotmail and Microsoft Office Outlook – together at last. Get it now!_______________________________________________Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey 

Peek-a-boo FREE Tricks & Treats for You! Get 'em!_______________________________________________Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey-- Bunyamin DemirOWASP-Turkey Chairhttp://www.webguvenligi.org 
_________________________________________________________________
Peek-a-boo FREE Tricks & Treats for You!
http://www.reallivemoms.com?ocid=TXT_TAGHM&loc=us
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071020/31e53ca6/attachment.html 


More information about the Owasp-turkey mailing list