Sending Valid Phishing E-mails From Microsoft.com Domain by Using Office 365

This post covers a weird and simple vulnerability that I found in Microsoft Office 365 service. To be honest, I can’t say I fully understand the logic behind of this vulnerability. Anyway, it’s fixed now.

In september, I was testing spam filters of various e-mail services such as Gmail, Outlook 365 and Yandex. I used my university e-mail address which uses Office 365 Web Service and personal e-mail addresses from Gmail and Yandex. I installed sees tool on an Amazon server to send phishing e-mails. The test wasn’t so successful. A sample setting for targeting my Yandex e-mail:

1

 

It landed on spam folder. Tried with Gmail and Outlook 365, still no luck. Maybe this tool was not so efficient maybe I was doing a mistake, I wasn’t sure.

Devamını Oku

Bylock ve Operasyon Güvenliği Fiyaskosu

Bu yazımda Bylock konusunda kafamda oluşan bazı soru işaretlerine değinmeye çalışacağım. Operasyonlar başladığından beri bu yazıyı yazmak istiyordum fakat yanlış anlaşılma korkusuyla cesaret edememiştim. Fetö’nün, Bylock yazılımını kullanarak nasıl büyük bir hata yaptığını dile getirmek; suçluya yol göstermek, şerefsizlik, fetö sempatizanlığı ya da vatan hainliği olarak algılanabilirdi. Fakat Bylock’un, bütün örgütün deşifre olmasına yol açan bir uygulama olduğu ortaya çıkınca kafamda iki soru belirdi: Ya Fetö sanıldığı gibi üst düzey gruplardan akıl alan bir örgüt değil, ya da akıl aldıkları gruplar Fetö’nün tamamen deşifre olmasını istemiş.

Profesyonel olarak bilgi güvenliğiyle ilgilenen biri olarak gizlilik (privacy) ve operasyon güvenliği (OPSEC) alanları hakkında da araştırmalar yapmaktayım. Dünyada OPSEC, bir alt bilim dalı gibi ele alındığından hakkında makaleler yazılması olağan karşılanır. Umarım bu yazı ülkemizde suçluya yol göstermekten ziyade teknik bir bakış açısı olarak görülür.

OPSEC (Operasyon Güvenliği) Nedir

OPSEC, Amerikan ordusu tarafından 2. Dünya savaşından beri kullanılan bir terimdir. Genel anlamda kritik bilgilerin düşman istihbaratı tarafından ele geçirilmemesini amaç edinir. Daha dar anlamda ise kabaca, küçük ayrıntıların korunarak büyük resmin görülmesini engellemek diyebiliriz.

Devamını Oku

Black Hat, Defcon ve Pwnie Awards Adaylığım

Ekip olarak Ağustos başında Las Vegas’ta düzenlenen Black Hat USA ve Defcon konferanslarına katıldık. Benim için bu seyahatin en heyecanlı noktası Pwnie Awards adaylığı olduğu için ilk olarak oradan başlamak istiyorum.

Pwnie Awards Adaylığım

Pwnie Awards, her sene Las Vegas’ta güvenlik dünyasının en başarılı ve en kötü işlerine verilen bir ödüldür. Güvenlik dünyasının Oscar’ı, Ballon dor’u olarak düşünebilirsiniz. Jüri, dünyanın seçkin güvenlik araştırmacılarından oluşur. Bu ödülü her sene takip ederdim. Geçen aylarda aday gösterme sürecinin başladığını okudum. Fakat aday olabilmek hiç aklıma bile gelmeyen bir şeydi. Bir gün Twitter’da anonim bir kullanıcıdan DM aldım. Beni “Best Backdoor” kategorisinde aday göstereceğini, bunu fazlasıyla hakettiğimi söyledi. Teşekkür ettim, fakat olabileceğine çok ihtimal vermiyordum. Çünkü adaylar yine jüri tarafından belirlenecekti.

Konferansın başlamasına yaklaşık 10 gün kala aday listesi açıklandı. Heyecanla sayfada ismimi arattım. Yoktum. Yaklaşık 30 saniyelik bir burukluk yaşasam da Best Backdoor kategorisi adaylarının henüz açıklanmadığını farkettim. Siteyi her gün kontrol ediyordum. En son Amerika’ya uçarken Londra havaalanında kontrol ettim. Aday gösterilmiştim :)

Screen Shot 2016-08-25 at 11.03.08

Devamını Oku

Mr Robot 1. Sezon Hack Sahnelerinin İncelemesi

Mr.Robot dizisi, aşırı abartılı Hollywood hacker filmleriyle karşılaştırınca takdir ettiğim bir yapım. Hacking sahneleri gerçeğe yakın kurgulanmaya çalışmış. Eksik noktalar barındırsa da, genel olarak başarılı diyebilirim. Bu yazıda bilgisayar ekranını gördüğümüz ya da bahsi geçen seneryoların gerçekliğini değerlendirmeye çalışacağım. Elbette bütün sahneleri ele alamadım. Diziye tekrar göz gezdirirken denk geldiklerimi yazdım.

Yazı içinde yanlış bilgi verdiğimi düşürseniz yorum olarak beni düzeltebilirsiniz. İlgili kısmı düzenlerim.

Devamını Oku

A Turkish Poetry Generetor AI That Passes Turing Test

As a last semester student of Computer Engineering department I decided to work on a natural language processing project which generates human-like poetic texts in Turkish.

The goal of this project is creating a computer program that can generate poems which are indistinguishable from human-written poems. An experiment is made with 146 participants to test if our automatic poetry generation program ROMTU is able to achieve this goal. As a result,ROMTU were able to mislead 48.63% of participants.

I will give a short information about the project in this blog post. For further reading I will share link of my full paper and source codes of the program.

Devamını Oku

Turing benzeri bir testi geçen ilk makina şairimiz: ROMTU

Bilgisayar mühendisliği son sınıf öğrencisi olarak 2015 sonbaharında tez için bir konu seçmem gerekiyordu. Şiiri ve Alan Turing’i seven biri olarak şiir yazan bir algoritma üzerinde çalışmaya karar verdim. Tez danışmanım Yrd.Doç.Dr Tuğba Yıldız ile birlikte yaklaşık 8 ay süren çalışmanın ardından projeyi bitirebildim. Artık Türkçe şiirler yazarak, insanları insan olduğuna ikna edebilen makina bir şairimiz var! Proje aynı zamanda İstanbul Bilgi Üniversitesi Bilgisayar Mühendisliği fakültesinin 2015-2016 eğitim öğretim yılının en iyi projesi seçildi.

Programların, insanların anlayabileceği cümleler üretmesi yeni bir teknoloji değil. Bunu oldukça başarılı bir şekilde gerçekleştiren projeler var. Benim projemin amacı, şiir gibi daha çok insanların duygularına hitap eden bir sanat dalını, bir bilgisayar programının taklit edip edemeyeceğini test etmekti.

Programın ismine başlangıçtan yaklaşık 3 ay sonra karar verdim. İkinci dünya savaşı döneminde Zonguldak’ta yaşayan şair iki arkadaş Rüştü Onur ve Muzaffer Tayyip Uslu’nun baş harflerini kullanarak bu programa bir isim bulmuş oldum: ROMTU

Bu yazının içinde çok detaylı teknik bilgiler paylaşmayacağım. Detaylı bilgi edinmek isteyenler için yazının sonunda tezimin ve projenin kodlarının linkini paylaşıyor olacağım.

Teknik Detaylar

ROMTU’nun şiir yazarken kullanabileceği bir kelime haznesi oluşturmak için 1500 farklı şiirin içinden en çok kullanılan 4245 kelimeyi belirledik. Daha sonra bu kelimeleri biçimlerine(isim,sıfat,zarf vs) ve temel anlamlarına(negatif,pozitif vs.) gibi temel kategorilere ayırdık.

Daha sonra 2882636 kelimeden oluşan Zemberek veritabanını kullanarak bu 4245 kelimenin olabilecek bütün gramer çekimlerini listeledik.

Program böylece doğru bir şekilde cümle kurmayı öğrenmiş oldu. Fakat şiirlerin anlamlı olabilmesi için kelimeler arasında bir anlam ilişkisi kurması gerekiyordu. Bunun için de Türkçe websiteler taranarak oluşturulmuş, içinde yaklaşık 500 milyon kelime bulunan bir data kullandık. Program hangi kelimelerin ne sıklıkta yan yana geçtiğini hesaplayarak, kelimeler arasında bir anlam ilişkisi kurmayı öğrendi. Örneğin ağaç ve bahçe kelimelerinin aynı cümlede geçme oranı ağaç ve bardak kelimelerinin aynı cümlede geçme oranından daha yüksek olduğu için program, ağaç kelimesinin bardak yerine bahçe ile benzer temalara sahip olmasını bilir hale geldi.

Şiir kalıpları oluşturmak için de ünlü şairlerin şiirlerini analiz ederek, hangi tarzda şiirler yazdıklarını tespit ettik ve bunları program için bir kalıp haline getirdik.

Devamını Oku

Tam Olarak Ne Yaptım Ne Yapmadım

6-7 ay önce başladığım Hidden Tear ve Eda2 projeleri son bir kaç gündür Türk medyasında yer edinmeye başladı. Fakat Türk medyasının biraz abartma ve -rating için- farklı bilgilendirme davranışları yüzünden bir yazı yazma gereği duydum. ( Bu arada onedio’nun hakkını yemiyim. Business Insider haberinden en doğru çeviriyi onlar yaptı)

Bugüne kadar Hidden Tear ve Eda2 projeleriyle ilgili tüm paylaşım, kod ve makalelerimi İngilizce yayınladığım için Türkiye’de tam olarak anlaşılamaması normal bir durum.Zaten bu projeler bilgi güvenliği ve kriptoloji alanlarına dahil olduğu için bunlarla ilgili araştırma yapmamış bir bilgisayar mühendisinin bile konuyu tam kavraması zor olabilir. Bugüne kadar hep bu alanda uzman bir topluluğa hitap ettiğim için amacımı anlatmak konusunda bir sıkıntı yaşamıyordum.

Sosyal medyada gördüğüm genel yanlış anlaşılmalar üzerine çok teknik detaylara girmeden, herkesin anlayabileceği bir şekilde soru ve cevaplar üzerinde yazıyı sürdüreceğim. Derinlemesine teknik detay isteyen uzmanlar blogumdaki diğer yazılara göz atabilir. Projelerin ve olayların kronolojik zaman çizelgesini merak edenler de şu yazıya göz atabilir.

Hacker Mısın

Maalesef hacker kavramı medyada biraz yanlış kullanılıyor. Wikipedia‘ya göre hacker tanımı şöyle: “term that refers to a highly skilled computer expert (bilgisayar alanında yüksek yeteneklere sahip uzman)”

Bir hacker yeteneklerini suç işlemek için de kullanabilir, iyi amaçlar gerçekleştirmek için de. Ben beyaz şapkalı bir etik hacker’ım. Suçlu değilim, yasa dışı hiç bir faaliyette bulunmam. Güvenlik araştırmaları üzerine yoğunlaşmış biriyim.

Devamını Oku

Project Eda2 is Abandoned Due to Magic Ransomware Incident

Today I received an e-mail which is about a ransomware incident. Victim told me that he’s suspecting the ransomware is modificated version of Eda2 . He sent me the ransomware sample and codes. I checked them to see the URL of the C&C server.

And their ransomware note is:

 

I got the URL. They was using a free hosting service. All I need to do was getting the private key from database by using my backdoor. But there was a problem. Their hosting was suspended.

Devamını Oku

Dealing With Script Kiddies – Cryptear.B Incident

Two days ago, Securityweek reporter Eduard Kovacs contacted with me and asked if I heard about the Cryptear.B incident. Well I wasn’t aware of that. I read the Trendmicro’s post . It seems another group used my Hidden Tear code and caused some trouble again. In Trendmicro’s article they claimed that the file recovery is not possible because the ransomware also encrypts the decryption key.

Another point which makes this attack unique is the fact that the generated key is lost within the valid file. The generated decryption key is saved inside a .txt file. Once dropped in the desktop folder, the malware starts encrypting files. Like other crypto-ransomware, this makes it very difficult to recover the files, even after the victim pays the ransom.

I sent them few mentions and told if they send me the malware maybe I can crack it because I had serious doubts about they didn’t even try for it.

 

They didn’t send me it. However, another security researcher Yonathan Klijnsma sent me the sample even if he is seriously against the Hidden Tear project. In this article he says:

“There is no educational purpose for releasing source code for a piece of ransomware,” Klijnsma told SecurityWeek. “Cryptographic implementations to secure files, sure, ransomware no. We have too much to deal with already, you really don’t want to help anyone in that business.”

Devamını Oku

Destroying The Encryption of Hidden Tear Ransomware

As you all know, I published the world’s first open source ransomware 3 months ago. Unfortunately, tons of people have criticized me on reddit and github. Now, I want to explain the idea behind all of these open source ransomware stuff.

The Motivation

While I was researching about ransomwares, all I can see that lots of fancy diagrams, assembly codes which are tries to explain how it works. It may be easy to understand who are familiar with assembly. But most of people not, especially the newbies. And there wasn’t any proper source code for a ransomware sample. My first motivation was provide a source code for newbies, students who are trying to understand the process.

My second motivation was… building a honeypot for script kiddies.

Open Source Ransomware as a Script Kiddie Trap

Most of people blamed me for providing a weapon for script kiddies.

Screenshot_5

 

Devamını Oku