Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

|

YayınlayanBerna Irmak Değiştirilmiş 8 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "|"— Sunum transkripti:

1 http://www.mertsarica.com | http://twitter.com/mertsarica

2 Donanım yazılımı (firmware) nedir ? Sonuç Örnek analizler Analiz yöntemleri ve araçları http://www.mertsarica.com | http://twitter.com/mertsarica Neden analiz edilmelidir ?

3 http://www.mertsarica.com | http://twitter.com/mertsarica

4 Finans sektörünün ihtiyaçlarına ve günün teknolojilerine uygun hizmetler sunan, ürünler meydana getiren, NBG Grup ş irketlerinden Finansbank’ın Bilgi Teknolojileri i ş tiraki olan IBTech firmasında Kıdemli Sızma Testi Uzmanı olarak çalı ş maktayım. http://www.ibtech.com.trhttp://www.finansbank.com.tr

5 http://www.mertsarica.com | http://twitter.com/mertsarica

6 Evinizde en az bir adet donanım yazılımına sahip cihaza sahip oldu ğ unuzu biliyor musunuz ? Artık biliyorsunuz Akıllı telefonlar, akıllı TV’ler, kameralar, akıllı buzdolapları, modemler, uydu alıcıları vs. Peki bu donanımlar akıllı oldukları kadar da güvenliler / güvenilirler mi ? Bunlardan kaç tanesi ev a ğ ınıza ba ğ lı ? 2? 3? 5+ ?!?

7 http://www.mertsarica.com | http://twitter.com/mertsarica Güvenli ğ iniz için Zafiyet ara ş tırması için Ödül programları (bug bounty) için Merakınızı gidermek için

8 http://www.mertsarica.com | http://twitter.com/mertsarica

9 Statik Analiz: Ş ifreler, gizlenmi ş sayfalar, arka kapılar vb. bulunabilir. Dinamik Analiz: Binwalk, firmware-mod-kit, strings, file vb. araçlar ile donanım yazılımı statik olarak analiz edilebilir. Zafiyet analizi / do ğ rulaması yapılabilir. JTAG ile donanım cihazı hata ayıklayıcı ile analiz edilebilir. UART üzerinden i ş letim sistemine ba ğ lantı kurulabilir. Binwalk, firmware-mod-kit, strings, file vb. araçlar ile

10 http://www.mertsarica.com | http://twitter.com/mertsarica Evinizde kullandı ğ ınız modeminizin ne kadar güvenli oldu ğ unu ö ğ renmek için güvenlik ara ş tırması yapmaya karar verdiniz. İ htiyaç listesi: Tornavida seti, ana kart üzerinde UART giri ş i, USB - TTL UART CP2104 çevirici, Putty veya SecureCRT, Dijital Avometre Telnet ile modeme ba ğ lanıp, OS üzerindeki programlarda arka kapı arayacaksınız fakat telnet ş ifresini bilmiyorsunuz.

11 http://www.mertsarica.com | http://twitter.com/mertsarica

12 Evinizde kullandı ğ ınız modeminiz ile ISS’inizin, TR069 yönetim protokolü üzerinden haberle ş ti ğ ini ö ğ rendiniz. İ htiyaç listesi: Charles veya Burp Suite Proxy, donanım yazılımı, binwalk, strings Peki bu protokol üzerinden gelen/giden parametreler neler ? İ leti ş im, güvenli bir kanal üzerinden mi gerçekle ş iyor? Sorular, sorular aklınızdaki sorular ve yanıtları için;

13 http://www.mertsarica.com | http://twitter.com/mertsarica

14 ISS’inizin hediye modem kampanyasından faydalanarak bir modem aldınız ve bu modem ön tanımlı ISS ayarları ile geldi. İ htiyaç listesi: donanım yazılımı, binwalk, strings Modemin ayarlarında zafiyete yol açan bir yapılandırma hatası veya eksikli ğ i var mı ? Modem donanım yazılım güncelemelerini üreticiden mi yoksa ISS’ten mi alıyor ? Sorular, sorular aklınızdaki sorular ve yanıtları için;

15 http://www.mertsarica.com | http://twitter.com/mertsarica

16 Modemlerin yönetim sayfalarında kimi zaman zafiyetlerin kimi zaman ise arka kapıların olabilece ğ ini biliyorsunuz. İ htiyaç listesi: IDA Pro, Qemu, MIPS Assembly bilgisi, file, strings vb. Temmuz ayında TP-Link kullanıcılarının ba ş ına gelenleri gördükten sonra modeminizi incelemeye karar verdiniz. Modeminizde yer alan uygulamalarda ne tür zafiyetler var ? Ş üphelendi ğ iniz de nasıl do ğ rulayabilirsiniz ? (Disassemble && Debug)

17 http://www.mertsarica.com | http://twitter.com/mertsarica

18 Donanım yazılımınızın pe ş inde rakipleriniz, dolandırıcılar, casuslar olabilir. Donanım yazılımınızı internette payla ş ıma açmadan önce mutlaka sıkıla ş tırmanız gerekmektedir. Aksi halde zafiyetlerin ke ş fedilmesi ve kötüye kullanılması dü ş ündü ğ ünüzden daha da kısa (Retweet) sürebilir.

19 http://www.mertsarica.com | http://twitter.com/mertsarica

20 Donanım yazılımını yamamak (patch) için firmware-mod-kit aracından faydalanabilirsiniz../extract-firmware ile donanım yazılımını açabilirsiniz. fmk klasöründe bulunan donanım yazılımına ait olan dosyaları de ğ i ş tirdikten sonra./build-firmware.sh ile paketleyebilirsiniz.

21 http://www.mertsarica.com | http://twitter.com/mertsarica

22 Donanımlar kapalı kutudan ibaret de ğ ildir, donanım yazılımına ula ş mak ve içeri ğ ini görüntülemek oldukça kolay olabilir. Donanım yazılımlarında tespit edilen bir zafiyetin kötüye kullanımının etkisi çok yüksek olabilir. Donanımlarda kullanılan i ş letim sistemleri, modern i ş letim sistemleri kadar güvenli de ğ ildir. Donanım yazılımları meraklı ki ş ilerce açılabilir, de ğ i ş tirilebilir ve tekrar paketlenebilir. (imza kontrolü)

23 http://www.mertsarica.com | http://twitter.com/mertsarica I can only show you the door. You're the one that has to walk through it. Morpheus

24 http://www.mertsarica.com | http://twitter.com/mertsarica mert.sarica@gmail.com https://www.mertsarica.com https://twitter.com/mertsarica

"|" indir ppt

Benzer bir sunumlar

E-İÇİŞLERİ KARŞILAŞILAN SORUNLAR

E-İÇİŞLERİ KARŞILAŞILAN SORUNLAR
Http://www.mertsarica.com | http://twitter.com/mertsarica Android Analizi http://www.mertsarica.com | http://twitter.com/mertsarica.

| Android Analizi |
Http://www.mertsarica.com | http://twitter.com/mertsarica Penetrasyon Testinin Önemi http://www.mertsarica.com | http://twitter.com/mertsarica.

| Penetrasyon Testinin Önemi |
İŞLETİM SİSTEMİ İşletim Sistemi Nedir İşletim Sisteminin Görevleri

İŞLETİM SİSTEMİ İşletim Sistemi Nedir İşletim Sisteminin Görevleri
İşletim Sistemi Temel Bilgiler

İşletim Sistemi Temel Bilgiler
BEGEK Bilgilendirme Toplantısı ve Çalı ş ma Takvimi 04.06.2010 Çukurova Üniversitesi.

BEGEK Bilgilendirme Toplantısı ve Çalı ş ma Takvimi Çukurova Üniversitesi.
06.09.20141 ISL417-Yönetim Bilgi Sistemi İletişim ve Ağ Sistemleri 15. Hafta.

ISL417-Yönetim Bilgi Sistemi İletişim ve Ağ Sistemleri 15. Hafta.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.

BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
İnternet ve e-posta Yönetimi

İnternet ve e-posta Yönetimi
Bilgisayar ? BİL 110 Bilgisayara Giriş Öğrt. Gör. Dr. Ahmet Cengizhan Dirican Bilgisayar Müh. Böl.

Bilgisayar ? BİL 110 Bilgisayara Giriş Öğrt. Gör. Dr. Ahmet Cengizhan Dirican Bilgisayar Müh. Böl.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Site Türleri ve Yapıları

Site Türleri ve Yapıları
Bölüm 1 Ağlar ve Verİ İletİşİmİ

Bölüm 1 Ağlar ve Verİ İletİşİmİ
DynEd İngilizce Dil Eğitim Sistemi

DynEd İngilizce Dil Eğitim Sistemi
İNTERNET GÜVENLİĞİ İÇİN İNTERNET GÜVENLİK SEMİNERİ

İNTERNET GÜVENLİĞİ İÇİN İNTERNET GÜVENLİK SEMİNERİ
Bilgisayar’da Virüsler, Zararlı Yazılımlar ve Alınacak Önlemler

Bilgisayar’da Virüsler, Zararlı Yazılımlar ve Alınacak Önlemler
Internette iki çe ş it adresleme kullanılır. IP numarası herhangi bir bilgisayar internete ba ğ landı ğ ı anda, dünya üzerinde sadece ona ait olan bir.

Internette iki çe ş it adresleme kullanılır. IP numarası herhangi bir bilgisayar internete ba ğ landı ğ ı anda, dünya üzerinde sadece ona ait olan bir.
İŞLETİM SİSTEMİ İşletim Sistemi Nedir İşletim Sisteminin Görevleri

İŞLETİM SİSTEMİ İşletim Sistemi Nedir İşletim Sisteminin Görevleri
BİLGİSAYAR AĞLARINA GİRİŞ

BİLGİSAYAR AĞLARINA GİRİŞ
Hazırlayan: SERDAR ÜNLÜCÖMERT EGİAD ORTAOKULU

Hazırlayan: SERDAR ÜNLÜCÖMERT EGİAD ORTAOKULU

Benzer bir sunumlar

Google Reklamları