Herkese Merhaba,
Konu biraz ilerledi tabii ki cozum aramak en dogal yontem ve her turlu iddaaya
karsilik olarak ozgurlugu savunmak yerinde olacaktir diye dusunuyorum. Bunun
yani sira kendi donaniminiz olsa bile guvenemezken baskasinin donanimina nasil
guveneceksiniz ki networkune guvenin. Herhangi bir isyeri ve ev de olabilir.
Interneti, hayatimizi izlemek isteyenler her zaman, her yerde olacak.
Sadece isimizi zorlastiracaklar ve biz astikca yeni yontemler sadece bu amaca
hizmet edenlerin networkunu daha ise yaramaz hale getirecektir.
"KIRALANDIGINIZ" konusuna girmek bile istemiyorum.
Cozume gelirsek Openvpn i https? arkasina saklasaniz yada imapin arkasina bir
de oyle deneseniz, boylece size yapilan bu mitm zafiyetini asabilir misiniz
merak ettim. kendim daha once deenemedigim icin birsey diyemeyecegim ancak
aklima ilk bu geldi. Ngnix yapildigini iddaa eden bir tut buldum. Denedikten
sonra bilgilendirirseniz biz de ogrenmis oluruz.
https://snikt.net/blog/2016/12/01/openvpn-over-https/
Burada atlandigini dusundugum kisim ise client tarafta vpn baglanti tarfigini
de sarmalamiyor olusu tabii openvpn belki bunu zaten destekliyordur. incelemek
gerekir.
saygilarimla,
On November 2, 2017 9:16:31 PM GMT+03:00, "Özgür KOCA" <[email protected]>
wrote:
>*İşte, o `body` içerisine gömme işi steganografi tekniğine tekabül
>eder.
>Sadece `body` içerisine değil, onun da içindeki bir `img` tagının `src`
>attribute'una gömmek lazım. Oraya gelince onu o zaman konuşuruz gerçi.
>*
>*Son derece yaratıcı bir fikir.*
>
>*Fakat,, benim esas eklemek istediğim başka bir şey var: Acaba yasal(!)
>yollardan itiraz etmeyi düşünüyor musunuz? *
>*Açıkçası şu konjektürde etmeyi düşünmem.*
>
>*Neticede haberleşme özgürlüğü diye bir şey var. Kurumun belli
>ölçülerde
>yaptırım yetkisi olabilir ama hiçkimsenin özel iletişimine bakma cüreti
>bir
>yasaya dayandırılıyor olamaz. Bu konuda bir dilekçe vermeyi düşünüyor
>musunuz? Bir yandan da o iş yürüse?*
>*Söz konusu kurum bir kamu kuruluşu malesef.*
>
>*Özgür Koca*
>
><http://www.tankado.com/>
><http://www.tankado.com/acik-kaynak/raspberry-pi-board/>
><https://github.com/enseitankado>
><https://www.instagram.com/ozgur0koca/>
><https://www.linkedin.com/in/%C3%B6zg%C3%BCr-koca-287ba534/>
><https://tr.pinterest.com/ozgurkocaandroi/>
><https://twitter.com/OzgurKoca2>
>
><http://www.facebook.com/zerostoheroes/>
>
>2017-11-01 11:54 GMT+03:00 Cerem Cem ASLAN <[email protected]>:
>
>> İşte, o `body` içerisine gömme işi steganografi tekniğine tekabül
>eder.
>> Sadece `body` içerisine değil, onun da içindeki bir `img` tagının
>`src`
>> attribute'una gömmek lazım. Oraya gelince onu o zaman konuşuruz
>gerçi.
>>
>> Fakat,, benim esas eklemek istediğim başka bir şey var: Acaba
>yasal(!)
>> yollardan itiraz etmeyi düşünüyor musunuz? Neticede haberleşme
>özgürlüğü
>> diye bir şey var. Kurumun belli ölçülerde yaptırım yetkisi olabilir
>ama
>> hiçkimsenin özel iletişimine bakma cüreti bir yasaya dayandırılıyor
>olamaz.
>> Bu konuda bir dilekçe vermeyi düşünüyor musunuz? Bir yandan da o iş
>yürüse?
>>
>> 1 Kasım 2017 00:55 tarihinde Özgür KOCA <[email protected]> yazdı:
>>
>> Merhaba,
>>>
>>> Her türlü öneriye açığım. SSH hesabını deneyebilirim lakin dediğim
>gibi;
>>> SSH protokolü porttan bağımsız olarak kapalı.
>>>
>>> Çokça deneyince ütopik şeyler de türüyor aklımda, şöyleki.
>>>
>>> Öncelikle IP yasaklamasından kurtulmak sunucuyu CloudFlare'in
>arkasına
>>> almayı düşündüm.
>>> (yüzbinlerce önemli sitenin kullandığı proxy IP'lerini banlayacak
>bir
>>> blacklist ol(a)mayacağını düşünüyorum).
>>>
>>> Daha sonra; iletişimi 2/3 kat yavaşlatacak olan (sadece TCP tünel
>yapmak
>>> yarıya indiriyor)
>>> Şifreli veriyi 80 (http) üzerinden <body> içerisinde base64-coded
>olarak
>>> aktaracak ve karşı tarafta tersini yapacak.
>>>
>>> Böyle bir yazılım vardır belki ama bilmiyorum?
>>>
>>> Bilenlerin tavvsiyelerine açığım.
>>>
>>> Selamlar.
>>>
>>>
>>>
>>>
>>> *Özgür Koca*
>>>
>>> <http://www.tankado.com/>
>>> <http://www.tankado.com/acik-kaynak/raspberry-pi-board/>
>>> <https://github.com/enseitankado>
>>> <https://www.instagram.com/ozgur0koca/>
>>> <https://www.linkedin.com/in/%C3%B6zg%C3%BCr-koca-287ba534/>
>>> <https://tr.pinterest.com/ozgurkocaandroi/>
>>> <https://twitter.com/OzgurKoca2>
>>>
>>> <http://www.facebook.com/zerostoheroes/>
>>>
>>> 2017-11-01 0:39 GMT+03:00 Cerem Cem ASLAN <[email protected]>:
>>>
>>>> Tekrar merhaba. Öncelikle SSH bağlantısını 80. porta
>yönlendirirseniz
>>>> çalışmaması beklenebilir, çünkü "deep inspection" yaparken 80.
>porttaki
>>>> trafikte en azından html dökümanı görmeyi beklerler. Fakat 443'e
>>>> yönlendirirseniz SSL'le arasında bir fark olmayacağından (ikisi de
>>>> kriptolu, deep inspection işlemez) gayet güzel çalışır. En fazla
>>>> yapabilecekleri şey şu olabilir: Bağlantı yapılan adresteki trafiği
>belli
>>>> bir miktarın üzerinde görürlerse gidip bizzat bakabilirler,
>gerçekten bir
>>>> site mi var, yoksa "bu bir çeşit proxy mi" diye. Bu durumda
>sunucuyu iki
>>>> sorguya da cevap verir şekilde düzenliyorsunuz, browser'la bakan
>site
>>>> görüyor, SSH'la bağlanan SSH server'a yönleniyor.
>>>>
>>>> VPN paketlerinin anlaşılabildiği doğrudur, zaten İran'da da böyle
>>>> engelleniyordu.
>>>>
>>>> Bunlar önemsiz ayrıntılar. Bizler kafaya koyduktan sonra
>aşılmayacak
>>>> şeyler değil. Madem TOR çalışmıyor, ben size bir SSH hesabı
>göndereyim,
>>>> onunla deneyin. O da olmazsa - ki firewall "ben paketin içeriğini
>>>> göremiyorsam izin vermem arkadaş" moduna ayarlandıysa olmaz -
>burada da
>>>> başka bir öneri çıkmazsa (benim aklıma başka bir standart yöntem
>gelmiyor),
>>>> HTML Proxy diye bir şey duymuştum galiba zamanında, aklımda kaldığı
>>>> kadarıyla steganografi esasına dayalı bir proxy çeşidi, tespit
>edilmesi -
>>>> maalesef - imkansız :) Oturur yaparız.
>>>>
>>>> 31 Ekim 2017 23:43 tarihinde Özgür KOCA <[email protected]>
>yazdı:
>>>>
>>>> Merhaba,
>>>>>
>>>>> Üzgünüm ama SSH da kapalı, SSH'ı 220'ye hatta 80'e bile taşıyarak
>>>>> denemiştim. Deep inspection firewall çalışıyor sanırım.
>>>>> Tor ve Tor'un alternatif bağlantı yöntemleri yılın başlarında
>>>>> çalışıyordu, ancak artık işe yaramıyor. O nedenle VPN ile
>uğraşmaya
>>>>> başladım.
>>>>>
>>>>> Burada [1] DPI'in 443 üzerinden giden OPENVPN'i sezebildiği
>yazıyor.
>>>>>
>>>>> Ki öyle tcp443 üzerinden openvpn ile dışarı çıkamıyorum.
>>>>>
>>>>> En azından FW'ın hangi hedef portlara izin verdiğini tespit
>>>>> edebilirsem, OpenVPN'i bu porta taşıyıp deneyebilirim.
>>>>>
>>>>> Hangi target port'lara izin verdiğini görmek için içerden dışarı
>bir
>>>>> tarama yapmam lazım. içeride nmap kullanabilirim
>>>>> fakat server'da nasıl bir program çalıştırmalıyım ki tüm TCP/UDP
>port
>>>>> aralıklarını tarayabileyim?
>>>>>
>>>>> [1] - https://www.bestvpn.com/how-to-hide-openvpn-traffic-an-intro
>>>>> duction/
>>>>>
>>>>> Teşekkürler.
>>>>>
>>>>>
>>>>> *Özgür Koca*
>>>>>
>>>>> <http://www.tankado.com/>
>>>>> <http://www.tankado.com/acik-kaynak/raspberry-pi-board/>
>>>>> <https://github.com/enseitankado>
>>>>> <https://www.instagram.com/ozgur0koca/>
>>>>> <https://www.linkedin.com/in/%C3%B6zg%C3%BCr-koca-287ba534/>
>>>>> <https://tr.pinterest.com/ozgurkocaandroi/>
>>>>> <https://twitter.com/OzgurKoca2>
>>>>>
>>>>> <http://www.facebook.com/zerostoheroes/>
>>>>>
>>>>> 2017-10-31 23:36 GMT+03:00 Cerem Cem ASLAN
><[email protected]>:
>>>>>
>>>>>> Hahah :D Şaşırttı mı? Hayır :)
>>>>>>
>>>>>> Ben İran'dayken vpn'ler çalışmıyordu. Orada TOR kullanmıştım,
>>>>>> çözmüştü. Eğer TOR'la başarılı olamazsanız söyleyin, size bir SSH
>>>>>> bağlantısı sağlayım, dinamik yönlendirme yapın (tarif ederim),
>başarılı
>>>>>> olursa bir SSH hizmeti alırsınız, dinamik yönlendirme yapıp
>geçersiniz.
>>>>>>
>>>>>> 31 Ekim 2017 21:24 tarihinde Özgür KOCA <[email protected]>
>yazdı:
>>>>>>
>>>>>> Omer Bey ve Cem Bey cevaplarınız için teşekkür ederim.
>>>>>>>
>>>>>>> Durumu vehametini kavradım. Tedbir olarak dışarıda bir OpenVPN
>>>>>>> konumlandırdım.
>>>>>>>
>>>>>>> Lakin firewall'dan engelli, başarılı olamadım. (Farklı UDP ve
>TCP
>>>>>>> portlarına taşıyarak denedim).
>>>>>>>
>>>>>>> Görünen o ki sadece HTTP/HTTPS/IMAP dışarıya açılmış. DNS
>sorguları
>>>>>>> dahi dışarıdan çözülemiyor.
>>>>>>> Ayrıca çok katı bir HTTP content filter çalışıyor. Herşey
>yasaklanmış
>>>>>>> durumda.
>>>>>>>
>>>>>>> Mahremiyetimi nasıl sağlayacağımı bilemiyorum.... :(
>>>>>>>
>>>>>>> Selamlar.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> *Özgür Koca*
>>>>>>>
>>>>>>> <http://www.tankado.com/>
>>>>>>> <http://www.tankado.com/acik-kaynak/raspberry-pi-board/>
>>>>>>> <https://github.com/enseitankado>
>>>>>>> <https://www.instagram.com/ozgur0koca/>
>>>>>>> <https://www.linkedin.com/in/%C3%B6zg%C3%BCr-koca-287ba534/>
>>>>>>> <https://tr.pinterest.com/ozgurkocaandroi/>
>>>>>>> <https://twitter.com/OzgurKoca2>
>>>>>>>
>>>>>>> <http://www.facebook.com/zerostoheroes/>
>>>>>>>
>>>>>>> 2017-10-11 23:22 GMT+03:00 Cerem Cem ASLAN
><[email protected]>:
>>>>>>>
>>>>>>>> 1. HTTPS en nihayetinde kök sertifika sunucularından birine
>güvenir.
>>>>>>>> Muhtemelen diğer kök sertifika sunucularına ulaşmanız
>engellenmiştir,
>>>>>>>> dolayısıyla ortada HTTPS yok.
>>>>>>>>
>>>>>>>> 2. HTTP ile neler yapılabilirse sizin durumunuzda HTTPS
>yazmasına
>>>>>>>> rağmen aynı şeyler yapılabilir.
>>>>>>>>
>>>>>>>> 3. HTTPS iletişiminde hostname dışında her şey (GET dahil)
>>>>>>>> şifrelenir. Ancak sizin durum için bkz. madde 2
>>>>>>>>
>>>>>>>> 4. Böyle bir şeyin tek amacı MITM yapmaktır, başka bir amaç
>aklıma
>>>>>>>> gelmiyor. Benim çalıştığım yerde böyle bir şey yapılsa - eğer
>istifa
>>>>>>>> edemiyorsam - özel işlerimi cep telefonumdan bağlanıp yapardım.
>Hatta
>>>>>>>> güzelce tırsardım, wifi hotspot'tan da değil bayaa bayaa usb
>kablo ile
>>>>>>>> bağlayıp internete çıkardım.
>>>>>>>>
>>>>>>>> EK: Eğer kök sertifika değiştirilmiş halde herhangi bir özel
>işlem
>>>>>>>> yaptıysanız (mail kutunuzu kontrol ettiyseniz mesela)
>yaptığınız her şeyin
>>>>>>>> güvenliğinden şüphe edebilirsiniz. Yani mail şifreniz ele
>geçmiş olabilir,
>>>>>>>> ele geçmekle kalmayıp tüm maillerinizin bir kopyası indirilmiş
>olabilir.
>>>>>>>>
>>>>>>>> 11 Ekim 2017 23:12 tarihinde Omer Barlas
><[email protected]>
>>>>>>>> yazdı:
>>>>>>>>
>>>>>>>> Kök sertifika ile bir anlamda man-in-the-middle attack
>>>>>>>>> gerçekleştirerek tüm https trafiğini okuyabiliyorlar,
>sertifika olmadan
>>>>>>>>> bağlanamamanızın ana sebebi bu. mahreminize girilmemesi için
>tavsiyem bir
>>>>>>>>> vpn edinmek olacaktır.
>>>>>>>>>
>>>>>>>>> 11 Ekim 2017 23:05 tarihinde Özgür KOCA <[email protected]>
>>>>>>>>> yazdı:
>>>>>>>>>
>>>>>>>>>> Merhaba Liste,
>>>>>>>>>>
>>>>>>>>>> Çalıştığım kurum bir süre önce tüm bilgisayarlara kendi
>ürettiği
>>>>>>>>>> kök sertifikayı
>>>>>>>>>> yükletti. Bu sertifika olmadan connection_refused
>(http+https)
>>>>>>>>>> alıyoruz.
>>>>>>>>>>
>>>>>>>>>> *Merak ettiğim bazı sorular var:*
>>>>>>>>>>
>>>>>>>>>> 1) HTTPS site ziyaret edildiğinde istemci tarafında sitenin
>SSL
>>>>>>>>>> sertifikası bu
>>>>>>>>>> sertifika ile sarmallanıyorsa, firewall'un https data
>içeriğini
>>>>>>>>>> görememesi mi lazım?
>>>>>>>>>>
>>>>>>>>>> 2) Bu senaryoda https içerik görülebilir mi ?(örn: gmail
>login
>>>>>>>>>> credits.) Görülebilirse ne
>>>>>>>>>> kadar mahremimize girilebilir?
>>>>>>>>>>
>>>>>>>>>> 3) HTTPS iletişimde sadece content mi şifreleniyor yoksa
>kısmi
>>>>>>>>>> olarak header (GET, HOST, USERAGENT vb) da mi sifreli gider?
>>>>>>>>>>
>>>>>>>>>> 4) Kurumumdaki sözünü ettiğim yapılandırma da kök
>sertifikanın
>>>>>>>>>> rolü nedir, neden gerek
>>>>>>>>>> duymuşlar, sonuçta HTTPS kullanabiliyoruz?
>>>>>>>>>>
>>>>>>>>>> Belki sorularımın tek bir yanıtı vardır fakat, sanırım bilgi
>>>>>>>>>> eksikliğimden soruları birleştiremiyorm.
>>>>>>>>>>
>>>>>>>>>> Selamlar.
>>>>>>>>>>
>>>>>>>>>> *Özgür Koca*
>>>>>>>>>>
>>>>>>>>>> <http://www.tankado.com/>
>>>>>>>>>> <http://www.tankado.com/acik-kaynak/raspberry-pi-board/>
>>>>>>>>>> <https://github.com/enseitankado>
>>>>>>>>>> <https://www.instagram.com/ozgur0koca/>
>>>>>>>>>> <https://www.linkedin.com/in/%C3%B6zg%C3%BCr-koca-287ba534/>
>>>>>>>>>> <https://tr.pinterest.com/ozgurkocaandroi/>
>>>>>>>>>> <https://twitter.com/OzgurKoca2>
>>>>>>>>>>
>>>>>>>>>> <http://www.facebook.com/zerostoheroes/>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
><https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>Virüs
>>>>>>>>>> bulunmuyor. www.avast.com
>>>>>>>>>>
><https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>>>>>>>>>>
><#m_-7035528410891623714_m_8774489044288439007_m_-1837495322695430458_m_-7251076259295616185_m_5600224305773708311_m_4094099134225401653_m_5577224265110678327_m_8367123943971527955_m_1501178185444889016_DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>
>>>>>>>>>>
>>>>>>>>>> _______________________________________________
>>>>>>>>>> Linux-sohbet mailing list
>>>>>>>>>> [email protected]
>>>>>>>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>>>>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Omer Barlas
>>>>>>>>> [email protected]
>>>>>>>>>
>>>>>>>>> _______________________________________________
>>>>>>>>> Linux-sohbet mailing list
>>>>>>>>> [email protected]
>>>>>>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>>>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> Linux-sohbet mailing list
>>>>>>>> [email protected]
>>>>>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Linux-sohbet mailing list
>>>>>>> [email protected]
>>>>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>>>>
>>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> Linux-sohbet mailing list
>>>>>> [email protected]
>>>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>>>
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Linux-sohbet mailing list
>>>>> [email protected]
>>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>>
>>>>>
>>>>
>>>> _______________________________________________
>>>> Linux-sohbet mailing list
>>>> [email protected]
>>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>>
>>>>
>>>
>>> _______________________________________________
>>> Linux-sohbet mailing list
>>> [email protected]
>>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>>
>>>
>>
>> _______________________________________________
>> Linux-sohbet mailing list
>> [email protected]
>> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>> Liste kurallari: http://liste.linux.org.tr/kurallar.php
>>
>>
--
Sent from my Android device with K-9 Mail. Please excuse my brevity.
_______________________________________________
Linux-sohbet mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php
