210 likes | 415 Views
Siber Saldırı Senaryosu Nasıl Gerçekleştirilir ? Duygu ateş. Siber Saldırı Nedir?.
E N D
Siber Saldırı Senaryosu Nasıl Gerçekleştirilir?Duygu ateş
Siber Saldırı Nedir? Siber saldırının en genel tanımı ; Bilgi sistemleri doğrultusunda elektronik araçların bilgisayar programlarının ya da diğer elektronik iletişim biçimlerinin kullanılması aracılığıyla ulusal denge ve çıkarların tahrip edilmesini amaçlayan kişisel ve politik olarak motive olmuş amaçlı eylem ve etkinliklerdir. Günümüzde yaygınlaşan internet kullanımıyla birlikte siber saldırı, bir diğer deyişle sanal saldırı olayları da artmaktadır.
Hacker ve Cracker Nedir? Türkiye'de bu iki farklı tanım için bir kavram karmaşası olduğu gözlenmektedir. Hacker'lar genellikle cracker kimlikleri ile karşımıza çıktığı için genellikle sistemlere sızan zarar veren kötü kişiler olarak bilinirler. Oysaki bu iki tanımında ne anlama geldiğini incelediğimizde aslında ikisinin de birbirinden farklı olduğunu göreceğiz.
Hacker'lar her türlü işletim sisteminin yapısı ve derinlikleriyle ilgilenen kişilerdir. Hackerlargenellikle çok iyi programcılardır ve işletim sistemleriyle ve programlama dilleriyle ilgili olarak çok üst düzeyde bilgiye sahiptirler. Sistemlerde bulunan açıkları ve sebeplerini iyi bilirler ve hepsinden önemlisi hackerlarher zaman için daha fazla şey öğrenmek için uğraşırlar ve de öğrendiklerini diğerleriyle paylaşırlar. Hiç bir zaman kasıtlı olarak zarar verme eğiliminde değildirler. • Cracker'larkötü niyetli kişilerdir ve sistemlere girerek bilgi çalarlar ve sisteme zarar verebilirler. Hedeflerine sızmayı başaran crackerlar önemli bilgileri silebilir sistemin işleyişini durdurabilirler, kısacası gittikleri yere sorunları da beraberinde götürürler. Bu kötü niyetleri ve işleri yüzünden crackerları tanımak çok kolaydır.
Firewall Ne Demektir? Temel olarak firewall ağ sistemlerini internet ortamından gelecek kötü kodlar, virüsler, hackerlar ve zararlı web siteleri gibi birçok olumsuz içerikten korumak için tasarlanmış donanımlardır.
Firewall lar yukardaki resimde gösterildiği gibi veri paketlerinin geçişine izin verir ya da reddeder. Buna paket filtrelemesi denir. Firewall lar ağ trafiğini denetlemek için birkaç method kullanırlar. Paket filtrelemesi de bunlardan biridir. Firewall bazı ön tanımlı konfigrasyonlarla gelirler bunlar; • Ip adresleri • Alan adları (domain names) • Protokoller • IP, TCP, HTTP, FTP, UDP, ICMP, SMTP,SNMP, TELNET • Portlar • Belli başlı kelimelere göre
Neden Firewall Güvenliğine İhtiyacımız Var • remotelogin - uzaktan erişim • Aplicationbackdoors – arka kapı uygulamaları • Dos (denial of service) attacks - Servis reddi atakları • SmtpSessionHijacking - Eposta protokolü oturum çalınması • Operating systembugs - İşletim sistemi hataları • Emailbombs - Eposta bombaları • Macros - Makrolar • Virusus – Bilgisayar virüsleri • Spam - Zararlı epostalar • Source rating- Kaynak Saptırma
Saldırı Senaryosu Cracker’inplanli yaptığı bir saldıryı adım adım anlatacağım şimdi. Öncelikle saldiriyaplacak hedef sistemde herhangi bir firewall olmadigini var sayiyoruz. (Tabi artik günümüzde firewall network icinvazgecilmez bir arac haline gelmistir ve gün gectikce Internet’e bir sekilde firewall kullanmadan baglanan bir sistem bulmak imkansizlasmaktadir.) Burada anlatilacak olan teknikler crackingicin genel bir yöntemdir. Yani her türlü sisteme saldirmakicinkullanilabilir ancak biz UNIX sistemi acisindansaldirilariinceleyecegiz.
8 aşamadan oluşmaktadır. Bunlar; • Bilgi Toplama • İşletim Sisteminin Belirlenmesi • Açıkların Aranması • Test Saldırısı Yapılması • Kullanılacak Araçlar • Saldırı Stratejisinin Belirlenmesi • İnceleme Aşaması • Sonuç Bu aşamaları adım adım görelim.
Bilgi Toplama Cracker ilk olarak karşıdaki sistemin network tipini ve hedef makineler hakkında bilgi edindikten sonra, hedef sistemde uğraştığı kişiyi tanımak için onunla ilgili bilgi toplamaya çalışacaktır. Söz konusu kişi tabi ki sistemin yöneticiliğini yapan rooterişimine sahip yöneticidir. Cracker sistem hakkında bilgi toplamak için aşağıdaki teknikleri kullanacaktır: a) Ağda bulunan tüm sistemlerle ilgili bilgi toplamak için host sorgusu çalıştıracaktır. Host komutu domain adi sunucularını (DNS servers) sorgulayarak ağ hakkındaki bulunabilecek tüm bilgileri toplar. DNS server o domainle ilgili bir çok bilgi tutarlar, asil amacı alan adlarını IP numaralarına dönüştürmektir
b-) Standart WHOIS sorgusu(alan adı sorgulama). Bu sorguyla cracker o sistemin teknik sorumlusunun bilgilerini almak için kullanır. Bu kişinin e-posta adresi fazla önemli gibi görünmese de bu adres sistem hakkında çok önemli bilgiler toplamak için kullanılabilir. c-) Usenet ve Web sayfalarında aram yapmak. Cracker sisteme saldırmadan önce şimdiye kadar öğrendiği bilgiler doğrultusunda Internet’te o sistemle ilgili daha fazla bilgiye erişmek için aramalar yapacaktır. Yani Cracker eline geçirdiği sistem yöneticilerin yada teknik sorumluların e-posta adreslerini kullanarak bu kişilerin Usenet yada güvenlikle ilgili mail listelerinde görünüp görünmediklerini araştırır.
Finger Sorguları • FingerSorguları : Fingersorguları bir cracker için yukarıda değindiğimiz gibi sistem hakkında çok fazla bilgi verebilir. Sistemde logon olmuş kullanıcı ID’lerini, isimlerini, en son loginoldukları yeri, mail bilgileri gibi bir çok bilgi verir. Cracker’imizsaldırdığı sistemde şüphe uyandırmamak için Internet’te yüzlerce sitede bulunabilecek “fingergateway” lerinikullanacaktır. Bu sunucular bir web sayfasından kullanıcıdan finger sorgusu gönderilecek olan sunucu adresini alır ve o sunucuya finger sorgusunu yollayarak yine sonuçları ekrana getirir. Böylece cracker kendi gerçek IP numarasının saldırdığı sistem loglarinda görünmesini engelleyebilir.
Tabi aslında bu gerçek bir gizlilik sağlamaz, hedef sistemdeki sistem yöneticisi çok fazla paranoyaksa bu fingergateway sunucusunun sistem yöneticisi ile temasa geçerek cracker’ingerçek IP adresini ele geçirebilir. Bu şekilde çalışan diğer bir yöntemse fingeryönlendirmedir. • Bu şekilde çalışan diğer bir yöntemse finger yönlendirme işlemidir. Daha önceki bölümde gördüğümüz gibi, cracker bir fingerfingerkullanici@gercek_sunucu.com@gecici_sunucu.comAslında finger bir sistemdeki kullanıcıların listesini çıkarmak için kullanılan tek yol değildir bundan başka güvenlik dünyasında çok fazla güvenlik açığı bulmasıyla meşhur olan sendmailprogramı da kullanılabilir.
Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir. Örnek olarak; telnet smtp_sunucusu.com 25 Bu komut smtp_sunucusu.com sunucusunun 25 numaralı portuna (yani SMTP portuna) telnet bağlantısı sağlar. SMTP mail göndermek için kullanılan bir protokoldür. Ancak telnet yapildiktan sonra SMTP sunucusunun izin verdiği bir dizi komut kullanılabilir. mail from, rcptto, data , quitgibi komutlar çalıştırılabilir. Ancak iki tane komut vardır ki bunlar sistemdeki kullanıcılar hakkında bilgi vermektedir. Bunlar vrfyve expnkomutlarıdır. Bu komutlar sistemde bulunan bir kullanıcı ID’sini onaylamak için kullanılırlar.
2. İşletim Sisteminin Belirlenmesi Cracker sistem yöneticisi ve ağ hakkında gerekli bilgileri topladıktan sonra saldıracağı ağda bulunan sistemlerde kullanılan işletim sistemlerini ve sürümlerini belirlemek için bir önceki kısımda anlatılan tekniklerin dışında cracker işletim sistemlerini belirlemek için ftp, telnet gibi servisleri deneyebileceği gibi hemen hemen kesin çözüm verecek olan nmaparacını kullanabilir.Nmap aslında bir port tarayıcısıdır.Ancak nmap ayni zamanda taranan sistemdeki çalışan işletim sistemini de büyük bir doğruluk oranıyla tahmin edebilmektedir.
3. Açıkların Aranması Cracker saldıracağı sistemlerin listesini çıkardıktan sonra her bir platform için bilinen açıkları Internet’te aramaya başlayacaktır. Bu noktaya kadar cracker aşağıdaki adımların hepsini yada belli bir kısmını belirlemiştir: -Sistem yöneticisinin kim olduğunu, -Ağdaki makineler ve işlevleri-Kullanılan işletim sistemlerini, -Muhtemel güvenlik açıklarını,-Sistem yöneticisi tarafından topoloji, yönetim, politika yada sistem yönetimiyle ilgili Internet’te yaptığı herhangi bir tartışma
4. Test Saldırısı Yapılması Bu adımda cracker saldıracağı sistemle ilgili olarak bazı noktaları açığa kavuşturmak için kendi sistemlerinde deneme saldırısı yapmayı deneyecektir. Temel amacı vardır: -Saldırılar saldırı yapan tarafından nasıl görünüyor, -Saldırılar kurban tarafından nasıl görünüyor, -Saldırgan saldırıda bulunduğu makinedeki log’larıinceleyerek karşı tarafta saldırı ile ilgili nelerin olup bittiğini anlar. Bu şekilde cracker karşı sistemde saldırıdan kalan izleri bilir.
5. Kullanılacak Araçlar Cracker bir sonraki adımda kullanacağı araçları belirleyip toplayacaktır. Bu araçlar genellikle tarayıcılardır. Hedef sistemdeki çalışan servislerin belirlemesi gerekmektedir. Bunun için port tarayıcılarından yararlanılmaktadır. Port tarayıcıları içinde en ünlü ve kapsamlı olanı nmaparacıdır.
6. Saldırı Stratejisinin Belirlenmesi Cracker planlı bir saldırıyı bir neden olmadan yapmayacaktır. Benzer bir şekilde saldırı yapacağı bir sisteme de belli bir planı olmadan saldırmayacaktır. Cracker’insaldırı stratejisi yapmak istediği işe göre değişir. Örnek olarak cracker topladığı tüm bilgilerden saldıracağı ağın bazı bölümlerinin router , switch , birdge yada diğer cihazlarla segmenteedildiğini bulursa bu kısımları tarama dışı bırakabilir. Bundan sonra tarama işlemine geçebilir.
7. İnceleme Aşaması Cracker taramalardan sonra bulduğu sonuçların incelemesine başlayacaktır. Bu işlem cracker’inbulduğu sonuçlara bağlıdır. Artık çoğu tarayıcı, SAINT, twwwscan, CIS... buldukları açıklarla ilgili olarak açıklayıcı bilgi ve o açıkla ilgili Internet adreslerini de vermektedirler. Hatta SATAN, SAINT gibi tarayıcılar açıklarla ilgili veri tabanları da tutmaktadırlar sadece bunların incelenmesi bile cracker için çok önemli bilgiler sağlayabilir.Bu noktada cracker daha önce açıkları toplamak için bas vurduğu sitelere giderek , BUGTRAQ gibi, bulduğu açıklarla ilgili olarak daha ayrıntılı bir araştırma yapabilir.
8. Sonuç Cracker’innerelerden nasıl saldıracağını bilirsek ve atacağımız adımlarda bu noktalara da dikkat ederek açık verecek bir durum oluşturmamış oluruz.