Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Internet Savaş Alanı ve Silahlar
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Internet Savaş Alanı ve Silahlar

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Internet Savaş Alanı ve Silahlar
    Gönderim Zamanı: 08-04-2010 Saat 00:40

Güvensiz Bir Ortam: Internet


Bilgisayar dünyasında belirsizlik ve gizlemeyle güvenlik ilkesi (security by obscurity) yıllarca süre gelen bir ilke olmuştur. Bu ilke hiç konuşmazsanız her şey iyi olur, saklanırsanız belki saldırganlar sizi bulamayacaklardır ve teknoloji çok karmaşık olduğu için güvendesiniz gibi prensiplere sahiptir. Bu prensiplerin tamamen yanlış olduğu söylenemez ancak güvenlik konusunun açık tartışma ve eğitimle gelişeceği de bir gerçektir.

Kısacası bu ilkeye göre güvenlik konusunda tamamen duyarsız olarak güvenlik açıklarını hiç açıklamazsanız ve kaydını tutmazsanız kötü niyetli kişilerin de bunlardan haberdar olması zorlaşacaktır ve kendinizi güvende hissedeceksiniz. Ancak sizin bazı sorunları saklamanız bunlardan kurtulduğunuz anlamına gelmemeli. Bilinki sorunlar ordadır ve siz istesenizde istemesenizde birgün birileri sakladığınız, göz ardı ettiğiniz bu noktaları yakalayacaklardır! İşte o zaman içine düştüğünüz durumda sadece karşıdaki kişileri suçlamak yanlış olur bence. Benim fikrime göre Security by Obscurity ilkesi aslında tamamen olmasada tek başına uygulanmaması gereken bir ilkedir. Tabiki bir açık hakkında ne kadar çok az kişinin bilgi sahibi olması çok kişinin bilgi sahibi olması ve kötü amaçlarla kullanmasından iyidir. Ancak bu açıkları kendi halinde bırakmak ta doğru değildir. Sistemleri daha da geliştirmek için bu sorunların açığa çıkarılması ve firmaların çok kısa sürede bunlara cevap vermesi gerekmektedir. Diğer yandan bir açığı bir kişinin yada binlerce kişinin bilmesi aslında o kadar da farklı şeyler değildir zira bir sisteme girip herşeyi altüst etmek için tek bir kişi bile yeterlidir!

Internetin güvensiz oluşunun bir sürü nedenleri vardır.

Yetersiz Eğitim: Eğitim internette güvenliğinde en başta gelen konulardan birisidir. Bilmediğiniz bir konunun size zarar vermeyeceğini düşünmek yanlıştır hele hele özellikle bir internet sunucusu çalıştırıyorsanız.
CERT belkide internetin en ünlü güvenlik organizasyonudur. CERT güvenlik uyarıları ve tavsiyeleri üreterek internet dünyasına yayınlar. 1988'de ARPA tarafından kurulan CERT koordinasyon merkezi en son bilinen güvenlik açıklarıyla ilgili raporlar yayınlamakta ve kurulduğu tarihten sonra çok hızlı bir gelişme kaydederek dünyada değişik noktalarda merkezler açmıştır. CERT merkezine adresinden ulaşabilirsiniz.


CERT sayfası düzenli olarak takip edilmesi değişik sistemlerde ve değişik platformlarda bulunan en son açıklarından ve bunlardan kurtulma yollarından en kısa zamanda haberdar olmanızı sağlayacaktır.

Internetin Tasarımı: Internette bir işi yapmanın bir çok yolu ve her yol içinde kullanılabilecek bir çok protokol mevcuttur. Örnek olarak internetten bir dosya indirmek için FTP programını kullanabilirsiniz. Eğer FTP'de sorun varsa HTTP'yi kullanabilirsiniz , Telnet tabanlı BBS sistemlerini yada artık kullanılmayan ancak çok güçlü bir protokol olan Gopher'ı kullanabilirsiniz.
Internet heterojen bir sistemdir, zaten bu hayallerle açık olarak geliştirilmiş bir sistemdir. Asıl problem internetin tasarımından gelmektedir. Internetteki hemen hemen tüm servisler istemci/sunucu modeline göre çalışmaktadır. Bunun sonucu olarak Cracker'lar için yapılacak bir iş kalıyor; gidip bu sunucuları crack etmek!


Ancak bu modelin yakın bir zamanda değişeceği pek beklenemez çünkü istemci/sunucu modeli etkin bir şekilde kullanılmaktadır ve yerini alacak alternatif bir yöntem de yoktur.

Internetin tasarımı kişilerin kendilerini nette belli bir seviyeye kadar gizlemesine izin verir. Bunun iyi yönleri olduğu kadar kötü yanları da vardır. İyi tarafı kimliklerini gizleyerek haberleşmek isteyenler internette bunu yapabilirler.

Çoğu insan kimliklerini gizliyerek haberleşmek için remailer programlarını (anonymous remailer) kullanırlar. Internette e-postaları alıp belli bir adrese yönlendiren sunucular vardır. Bu işlem sırasında e-postanın başlık kısmındaki gönderici kişinin bilgileri ve IP adresi silinir ve remailer sunucusunun adres bilgisi yazılır. Böylece mesajı gönderen kişi kendini gizlemiş olur. Internette kendini gizlemek isteyenlerin politik nedenlerden tutunda illegal işlere kadar kullanılır bir çok değişik nedeni olabilir. Anon remailer'lar genellikle casuslar için yararlı olabilir ancak nette kendini gizleme olayının güvenlik açısından gerçek bir problem oluşturacağını kabul etmek zordur.

Bilindiği gibi internette Carnivore gibi e-posta izleyici sistemler vardır. Carnivore FBI'ın Amerika'da ISS'lere yükleyerek çalıştırdığı ve tüm e-posta trafiğini kontrol eden bir sistemdir. (Aslında Carnivore'un piyasada bedava olarak bulunabilecek sniffer programlarından pek bir farkı yoktur. Yaptığı şey bir ağ üzerinde geçen tüm e-posta paketlerini toplamak ve ne dönüp bittiğini takip etmektir.) işte bu sistemler gelen ve giden mesajların başlık kısmını okuyarak kimden geldiğini tespit etmektedirler. Ancak anon remailer'lar sayesinde kullanıcılar kendilerini tamamen gizleyebilirken yada çeşitli şifreleme programlarıyla mesajlarını şifrelerken bu gibi sistemlere ne kadar güvenmek gerekir o da bir tartışma konusu. Düşünün biri sizin e-posta hesabınızla bir cracker haber grubuna mesajlar atıyor (bunu yapmak o kadarda zor değil...) ve FBI mesajı atan kişiyi değilde sizi takip etmeye başlıyor!!!

Firmaların kendilerine has özel tasarımları: Bazı ticari firmalar internette sadece kendilerine özel olarak geliştirdikleri sistemlerle ticari olarak kazanç sağlamayı düşünmektedirler. Bu şekilde internetin herkese eşit olarak sunduğu bazı servislerlerden artık herkes değilde sadece hitap ettiği kesim yararlanır duruma gelmiştir. Ayrıca bu sistemler internete ek güvenlik açıkları meydana getirmektedir. Bunların içinde en önemli olarak ActiveX teknolojisinden bahsedebiliriz. ActiveX Microsoft'un kendine özel olarak geliştirdiği bir teknolojidir. ActiveX teknolojisi şimdilik sadece Internet Explorer gezgini tarafından desteklenmekte. Ancak Microsoft HTML'e ActiveX uzantılarını eklemek için uğraşıyorsa da bu gibi teknolojiler internet güvenliğinde çok fazla etki yapmaktadırlar. Teknolojilerin bu özelliği onların güvenlik uzmanları tarafından incelenmesini zorlaştırmaktadır.


Bu alanda Netscape'in JavaScript'i ve Microsoft'un VBScript ve ActiveX teknolojisi savaş halindedir. Ancak bu iki teknolojininde aslında gerekli ve vazgeçilmez olduğu aşikardır. Microsoft masa üstünde lider konumdayken Netscape'te UNIX alanında ürünler sunmaya devam edecektir.

İnsan Doğası: Internet güvenliğini zayıflatan en önemli etken insan doğasıdır. İnsanlar doğal olarak tembel yaratıklardır ve çoğu kullanıcı internet ve bilgisayar güvenliği konusunu sıkıcı bulurlar ve göz ardı ederler. Internet kullanıcıları internette güvenliğin bir takım uzmanlar tarafından sağlanacağını sanırlar!


Internet zincirdeki en zayıf halkaya dayanan bir sistemdir. Kişisel kullanıcılar ağa, ağlar ağlara , o ağlar da başka ağlara bağlanmaktadır ve tüm bu sistemlerin aralarında belli bir güven ilişkisi vardır (trust relationship). Bazen cracker'lar hiç bir değeri yokmuş gibi görünen tek bir makineye girebilmek için var güçleriyle uğraşabilmektedirler. Asıl amaçları bu makineye girmek değil bu makineye girdikten sonra bu makinenin trust relationship içinde olduğu diğer makinelere de girmektir. Bir ağda sadece bir makinenin zayıf olması aralarındaki güven ilişkisi yüzünden diğerlerinin de zayıf olmalarına neden olmaktadır.

İnsan doğasından gelen diğer bir etken de korkudur. Bir çok şirket güvenlik konusuyla ilgili olarak dış dünyayla iletişim kurmak istemiyor. Herhangi bir güvenlik ihlali durumunda bunu hiç duyurmuyor ve rapor etmiyor. Tabi ana web sayfasının hacklenmesi olayı hariç. Bu durumda herkes şirketin hacklendiğini görebiliyor!

Cracker'ların bu işleri neden yaptığını anlamak zor değil aslında; insanlarda bulunan merak duygusundan geliyor her şey. Kapalı kapıların neden kapalı olduğunu ve içeri girebilip giremeyeceklerini merak ederler.
Insanların bu özelliği devam ettikçe internetin hiç bir zaman tamamen güvenli olmayacağını söyleyebiliriz.

Internet artık günümüzde bir eğlence ve oyun aracı olmaktan çok bir iş aracı ticaret aracı haline gelmektedir. Ve böylesine bir ortamın da güvenli olması gerekmektedir. Ancak bunu yapmak için bazı ciddi değişikliklerin yapılması gerekmektedir bunun başında ise problem hakkında insanların daha fazla haberdar olmasının sağlanması gelmektedir. Çoğu insan interneti sadece bir oyun aracı olarak görmektedir.


Medya bu konuda büyük rol oynamaktadır. gün geçtikçe insanların internete bakış açısı değişmektedir ve basın da internet ve teknolojiyle ilgili haberler ağırlık verilmektedir. Buna paralel olarak güvenlik konusunda da kullanıcıların daha fazla bilençlendiği aşikardır.

Tabi Türkiye'de bu biraz yavaş işliyor, kullanıcılar internete bağlandıklarında ne gibi sorunlarla ve tehditlerle karşı karşıya olduklarının farkında bile değiller ve işin kötü yanı öğrenmek te istemiyorlar. Tanıdığım kişilerden bir çoğu (normal kullanıcı seviyesindeki kişiler) bilgilerin çok önemli olduğu bir ağda bilgisayara şifresiz girmenin yolu yokmu diye sorular yöneltiyorlar bana. Sunucuya bağlanmak için şifrenin zorunlu olduğu bir ortamda bile bir kelimelik bir şifreyi ezberleyip kullanmak istemiyorlar yada şifreyi bir kağıda yazıp masalarının üzerinde bırakabiliyorlar!

Tabi durum böyleyken aslında asıl amaç daha iyi tedbirler alsınlar diye güvenlik uzmanlarını, hatasız kod yazsınlar diye programcıları, sistemi koruyabilsinler diye sistem yöneticilerini eğitmek değil son kullanıcıyı bilinçlendirmek ve eğitmek olmalıdır.

Internetteki Savaş Alanı


Internette kişiselden kurumsala ve politik seviyeye kardar bir çok alanda savaşlar yaşanmaktadır. Kişiler arasında yaşanan savaşta ve kurumsal çapta yaşanan savaşlarda kullanılan teknikler ve araçlar da birbirinden farklıdır.

Şimdi kişisel seviyede gelişen savaşlarda kullanılan araçlara bakalım. Bu tür savaşlar ekonomiye zarar verecek kadar önemli sayılmayabilir. Bunlar genellikle kullanıcıların birbirini rahatsız etmek istediği ve biraz ağlenmek için kullanılan yöntemlerdir. Şimdi kısaca bir göz atalım bu tekniklere:

E-posta bombaları: E-posta bombaları can sıkıntısı yapacak kullanıcıya sıkıntı verecek basit ve etkili araçlardandır. Bu teknik kullanıcıya aynı mesajı yüzlerce binlerce defa göndermekten başka bir şey değildir. E-posta sistemini tasarlayan kişiler herhalde kimsenin oturupta aynı kişiye aynı mesajı binlerce defa gönderebileceğini düşünmemiş olmalılarki zaman içinde Mail Bomber ve Doomsday gibi mesaj bomba programları geliştirilmiş.


Bu tür bir saldırı bazen DoS saldırısına dönüşebilir. Sunucunun kısıtlı kaynaklara sahip olması durumunda kullanıcının mesaj kutusunu saçma sapan mesaşlarla doldurarak diğer mesajları alması engellenebilir. Ancak e-posta bombaları can sıkıntısı oluşturmaktan başka bir işe yaramazlar. Internette bu tip programlardan hem Windows ortamı için hem de Unix ortamı için yüzlerce bulmak mümkün. Tabi böyle bir şeyi bir kullanıcının neden yapmak istemesini anlamak ta zor aslında!

E-posta listeleri: E-posta listeleri de kişisel çaptaki savaşlarda çok kullanılan araçlardan birisidir. E-posta listesinin çalışma mantığı çok basittir, sunucuda tüm üyelerin e-posta adresleri bir dosyada kayıtlıdır ve bir mesaj göndermek istendiği zaman sunucu bu listedeki tüm e-posta adreslerine mesajı gönderir. Genellikle bu tür listelere üye olan kişilere sıklıkla mesajlar gelmektedir. Bu mesaj listelerine üye olmanın iki değişik yolu vardır ya listenin web sayfasından elle giriş yapmak yada mesaj sunucusuna içinde "subscribe" yada boş mesaj olan bir e-posta yollamak.


İşte listelerin bazı zayıf durumundan yararlanan kötü niyetli kişiler başkalarının e-posta adreslerini yüzlerce e-posta listesine girerek istemedikleri listelere üye olmalarını ve yüzlerce mesaj almalarını sağlamaktadırlar. Bunu elle yapabildikleri gibi bir program yardımıyla liste sunucularına mesaj göndererek te yapabiliyorlar. Böylece bir kaç saniye içinde bir kişi yüzlerce mesaj listesine üye yapılabilir. Bu SMTP protokolünden kaynaklanmaktadır. SMTP protokolü sayesinde bir SMTP posta sunucusuna (25 numaralı port) bağlanarak SMTP komutlarını kullanarak başka bir kişinin e-posta adresiyle mesajlar atılabilir.
Kısaca görelim bu işin nasıl yapıldığını:

Öncelikle bir SMTP sunucusuna 25 numaralı port üzerinden telnet yapıyoruz. (Internette bir SMTP sunucusu bulmak o kadar da zor değil. Genellikle servis sağlayıcınızın adresini yada mail ayarlarınızdaki "outgoing server" posta sunucusunu kullanmanız yeterli olacaktır.):

telnet smtp_sunucu_adi 25

gelen telnet ekranında SMTP sunucusu sizi karşılayacaktır. Girmeniz gereken ilk komut selamlaşma komutu olan HELO komutudur.

HELO smtp_sunucusu

daha sonra mesaj göndermeye başlayabilirsiniz. İlk olarak mesajı gönderenin adresi bildirilir:

MAIL FROM: gonderici_posta_adresi

adres onaylanırsa size "Sender OK" mesajı gelecektir. İşte bu noktada kendi e-posta adresinizi yazmak zorunda değilsiniz başkasının e-posta adresini yazarak mesaşın o kişi tarafından gönderilmesini sağlayabilirsiniz. Daha sonra mesajı alacak olan e-posta adresi bildirilir.

RCPT TO: alıcı_posta_adresi

Bu adımdan sonra artık gönderilecek olan mesaj girilir.

DATA
subscribe
.

Buradaki enter karakteridir. DATA komutundan sonra gönderilecek olan mesaj girilir ve mesaj sonuna gelinince "enter" '.' ve tekrar "enter" tuşuna basılarak mesaj sonlandırılır. oturumu kapatmak için QUIT komutu kullanılır.
Görüldüğü gibi başka bir kişinin adına e-posta göndermek çok zor bir şey değil internette. Bu işlemler için basit bir program C, java, asp yada perl gibi dillerde yazılabilir. Eğer gönderme işlemini, yani SMTP sunucusuyla açılan oturumu, bir döngü içinde yaparsanız bir e-posta bomba programı yapmış olursunuz.

IRC araçları : IRC kullanıcıların bir sunucuya log olarak karşılıklı sohbet edebilecekleri bir sistemdir. Kullanıcının bilgisayarından girdiği yazılar aynı ortamda bulunan diğer tüm kullanıcılara transfer edilir ve ekranda aşağıya doğru kaydırılarak gösterilir. IRC internet çapında bedava olarak kullanılabilen bir servistir.


IRC'nin çalışma mantığı çok basittir. Kullanıcı herhangi bir IRC istemci programıyla ilk önce herhangi bir IRC sunucusuna bağlanır. Bu sunucular genellikle bir UNIX makinesinde çalışmaktadır. Daha sonra girmek istediği kanalı belirtir. Bu kanal isimleri herhangi bir isim olabilir ancak genellikle o kanalın içeriği ile ilgili bir isim alırlar.

Internette kurulmuş binlerce IRC kanalı mevcuttur. Hatta kullanıcılar kendi kanallarını da oluşturabilmektedirler. Bu program ve kullanılan araçlar internet savaşlarında pek bir rol oynamazlar. Ancak bu programlara ve protokole yönelik saldırılar düzenleyebilen flash araçları büyük rol oynarlar.
Flash araçları bir kişiyi IRC kanalından atmak için yada IRC kanalını kullanmasını engellemek (bir nevi DoS saldırısı) için kullanılırlar.
Flash araçları genellikle C'de yazılmış ufak programlardır. Internette araştırma yapılarak rahatça bulunabilecek araçlardır bunlar. Hedefe bazı özel karakterler (escape sequences) göndererek çalışırlar. Kısaca bu özel karakterler kullanıcının ekranını doldurduğu için kullanıcı logoff yaparak tekrar başka bir oturum açmasına neden olmaktadır.

En popüler flash aracı yine flash adında bir C programıdır. Eğer bu programın çalışmasını ve kaynak kodunu görmek istiyorsanız arama motorlarında flash.c, flash.c.gz, flash.gz isimlerinden birini arayabilirsiniz.
Diğer popüler araçlardan birisi de nuke'tür. Nuke flash araçlarından daha tehlikelidir. Zira nuke kullanıcı ekranını doldurmak yerine kullanıcının sunucuyla bağlantısını tamamen kesmektedir. Bu programın kullanılması ve kullanıcıların bu servisten yararlanmasını engellemek kanun dışı bir iştir. Merak edenler için nuke.c programını arayarak internetten bulunabilir. Tabi bu yöntemler geliştirilen karşı yöntemler sayesinde artık günümüzde tamamen geçersiz duruma gelmiştir.

Bunlardan başka kişisel düzeyde kullanılan başka teknikler de vardır. Virüs ve trojan saldırıları bunlara örnektir. Ancak bu teknikler biraz daha uzmanlık gerekmektedir. Otomatik virüs ve trojan üreticilerini saymazsak bu saldırıları gerçekleştirebilmek için oturup iyi tasarlanmış bir virüs yada bir trojan yazmak gerekmektedir.

Virüsler ve Trojanlar: Virüs saldırılarının yayılma kaynağı internette genellikle Usenet haber gruplarıdır. Usenet haber gruplarına isimsiz olarak mesaj atılabilmektedir. Dolayısıyla pornografigrafik içerik, cracking araçları ve virüsler trojanlar gibi illegal dosyalar bu gruplarda sık sık rastlamak mümkün.


Virüsler ve trojan kodları genellikle yararlı bir programmış gibi yada tanınmış programlardan biriymiş gibi (notepad.exe mesela) tanıtılarak yayılmaktadır. Örnek vermek gerekirse 1995 yıllarında DOS'ta kullanılan pkzip programının trojanlanmış bir hali çıkarılmıştı. Trojanlanmış programlar PKZ300B.EXE ve PKZ300B.ZIP dosyalarıydı.

Virüslerden tamamen kurtulmak için bir çok kişi tarafından UNIX kullanılması tavsiye edilmektedir. Asında tamamen olmasada nispeten doğrudur bu. Bir virüs programı Windows ortamında elini kolunu sallayarak gezdiği gibi bir UNIX ortamında aynı şeyi yapamaz. Çünkü UNIX sistemlerinde erişim kontrolleri vardır ve her istediği yere değilde sadece belli kısımlara erişebilir programlar. Dolayısıyla UNIX'te virüs yazarlarının işi zordur. Bu yüzdendir ki UNIX için yazılan yada bulunan virüs sayısı çok çok azdır. Örnek vermek gerekirse UNIX için yazılan ve kaydedilen ilk virüs AT&T Attack Virus'ü idi ve bu virüs te araştırma amacıyla yazılmıştı. Linux için de aynı şeyi söyleyebiliriz. Linux işletim sisteminde tespit edilmiş bir virüs Bliss idi.

Güvensiz kaynaklardan dosya yada program indirildiği zaman bunların virüslü yada trojanlı olmasına karşı en iyi çözüm antivirüs programlarını kullanmaktır. Piyasada bir çok antivirüs yazılımları mevcuttur. Bunlardan Thunderbyte , F-PROT, McAfee, TBAV,(DOS ve Windows için benim favori tercihlerimden biridir. TBAV henüz çıkmamış olan virüsleri bile tespit edebiliyor. Daha önce bir örneği olmayan kendi yazdığım Syrix isimli bir virüsü Norton, F-Prot ve diğer antivirüs programları hiç tanıyamazken TBAV antivirüs programı Syrix virüsünün bulaştığı dosya üzerinde yaklaşık 1 dakika kadar düşündükten sonra dosyanın virüslü olduğuna karar vermişti!! Şaşırmıştım gerçektende. TBAV o zamanlar diğer antivirüs programlarının aksine sadece virüs imzasını kontrol etmiyor aynı zamanda programın işlettiği kodları da inceleyerek bir virüs olup olmadığını test ediyordu. O zamandan sonra favori programım haline geldi TBAV) Dr. Antivirus, Norton AntiVirus sayılabilir.

Virüslerden farklı olarak bir de zararlı kodlar vardır. Bunlar bir virüs programından ziyede zararlı olabilecek bir kod parçasıdır. Örnek olarak HTML sayfalarındaki zararlı Javascript yada VBScript kodları olabilir. Bunlar genellikle kurbana bir zarar vermekten ziyade Web gezginciyi tekrar yüklemek gibi can sıkıcı olaylara neden olabilirler.

Ancak Java dilinde ortaya çıkan bazı güvenlik açıkları son zamanlarda bu tür kodların da aslında ölümcül olabileceklerini göstermiştir. Örnek verecek olursak BrownOrificeHTTP denilen örnek kod sadece bir web sitesini ziyaret edildiğinde kubanın bilgisayarının bir Web sunucuya dönüştüğünü ıspatlamıştır. Bu program java da yazılmıştır ve Netscape'in java uyarlayıcısında bulunan bazı açıklardan yararlanmaktadır. Bir web sayfasına girdiğinizde bu java kodu çalışıyor ve bilgisayarınızda bir sunucu çalışmaya başlıyor ve bilgisayarınızın C diskini internete açıyor. Böylece sizin o anki internet adresinizi bilen biri herhangi bir internet gezginiyle sizin bilgisayarınıza bağlanarak diskinizi görebiliyor.

Buradan da görüldüğü gibi eskiden tehdit olarak görmediğimiz yada düşünemediğimiz konular zaman içinde büyük bir tehlike oluşturabilirler. bunun nedeni geliştirilen teknolojilerdir. HTML ilk çıktığından tamamen güvenli sayabileceğimiz bir durumdaydı ancak daha sonraları eklenen uzantılar ve ek fonksiyonlar , javascript, VBscript, asp, SSI (server side includes) gibi.. bir çok açığın meydana gelmesine neden olmuştur. Onun için hiç bir konuda tamamen güvenli yorumunu yapmamak gerekir.

Kurumsal savaşlar: Bunların dışında internette kurumsal çapta ve herkese açık bir savaş oyunu da oynanmaktadır. Bu savaşın için en başta üniversiteler ve daha sonra Internet Servis Sağlayıcıları geliyor.
Internet Servis Sağlayıcıları geniş bir kullanıcı kitlesine yada kısıtlı bir kesime internet servislerini sunmaktadırlar, HTTP, Telnet, FTP , Gopher (gerçi şu anda kaç kişinin bu servisi bildiği ve kullandığı meçhul zira aslında çok hızlı ve çok etkin bir servis olmasının yanı sıra HTTP gelişip browserlar abartı denecek kadar özelliğe sahip olduktan sonra Gopher unutulur oldu ve diğer servisler gibi. ISS'ler kullanıcılarına belli bir gizlilik içerisinde hizmet vermektedirler. Örneğin siz bir Superonline kullanıcısı olduğunu tespit ettiğiniz bir IP numarasına o gün ve o saatte hangi kullanıcının bağlı olduğunu bazı kanuni şartlar yerine getirilmeden direk sistem yöneticisini arayıp öğrenemezsiniz. Ancak servis sağlayıcıların sorumlulukları henüz tam olarak ta belirlenmiş ve kanunlaşmış değil.


HTML gezgincileri bu günkü kadar yaygın ve gelişmiş olmadığı zamanlarda (işte Gopher servisinin baç tacı olduğu dönemlerde) kullanıcılar ISS'lere telnet'le girip çeşitli komutlar çalıştırırlardı ve sistemdeki bir çok dosyayı görebilirlerdi. Ancak HTTP ve HTML geliştikçe artık ISS'lere telnet yapmak yerine kullanıcı modem ile çevirmeli ağ bağlanısı (PPP bağlantı) kurarak Netscape yada Explorer gibi bir browser kullanarak internette gezinir oldu. Böylece içeriden gelebilecek tehlikenin boyutu da azalmış oldu. Tabi bunun ne kadar geçerli olduğu da tartışılır. Önceleri telnet yapılan sistemde password dosyaları alınarak herhangi bir şifre kırıcı programla şifreler kırılarak sisteme erişim sağlanmaktaydı. Aslında yine durum farklı olmadı HTTP protokolünde bulunan açıklar sayesinde sistemdeki izin verilmeyen dosyalara erişim sağlanabilmekte.

ISS'lerin kilit nokta olmalarından dolayı çoğu zaman Cracker'ların ana hedefi halinde olmuşlardır. Üniversiteler de aslında ISS'lerle aynı durumdadır. Aralarındaki tek fark üniversite bilgisayar laboratuvarlarında güvenlik konusunda çok yetenekli ve hevesli kişilerin olmasıdır. Genellikle internette güvenlik konusunda kaliteli makaleler ve yayınlar bu öğrencilerden çıkmaktadır.

Bu organizasyonlar devamlı olarak saldırı altında olduğu için buna karşı araçlar geliştirilmiştir. Bu araçların çoğu koruyucu ve savunmaya yönelik araçlardır. Kullanılan araçların başında log araçları gelmektedir. Bu araçlar sistemde yapılan işlemlerin yada değişikliklerin kayıtlarını tutarlar. Bu sistemlere örnek vermek gerekirse L5 (UNIX yada DOS dizin yapısını tarayarak dosya bilgilerini kayıt eder ve daha sonra bir değişiklik olup olmadığını kontrol eder) , LogCheck (log dosyası inceleme işlemini otomatikleştirir ), DumpACL'yi (Windows NT sistem erişim güvenliğini daha iyi anliz edilebilmesini sağlar) sayabiliriz.

Günümüzde artık sadece ISP ve üniversiteler değil kurumsal şirketlerde bu savaşın içindedir. Kurumsal bazda yapılan saldırılar genellikle bir amaca yönelik yapılmaktadır. Bir kaynak kodun çalınması yada şirketin bir açığının bulunması gibi. Internette yaşanan bu savaşlar gün geçtikçede artmaktadır. Bu yüzden internet güvenliği konusunda araştırma yapmak ve hacking cracking konusunda bilgi sahibi olmak artık normal bir kullanıcı için bile kaçınılmaz hale gelmiştir. Sadece bir güvenlik duvarı kullanan ve ne için kullandığını bilmeyen bir kullanıcı bile aslında cracker'ların saldırılarına karşı kalkanla direnen pasif bir savaşçı gibi savaşın içindedir.

Internet Savaşlarında Kullanılan Silahlar

Biraz da internet savaşlarında kullanılan silahlardan bahsedelim. Aslında burda vereceğim her bir konu bir kitap olacak kadar geniştir. Ancak şimdilik sadece kısaca değineceğiz bu araçlara daha sonraki bölümlerde ise her birini tek tek ele alıp daha ayrıntısıyla inceleyeceğiz.

Tarayıcılar : Hacker ve Cracker'ların belli bir sisteme saldırmaları ve sisteme girebilmeleri için öncelikle bu sistemleri bulmaları gerekmektedir. Hatta bulmaları yetmez bulduktan sonra da bu sisteme girilebilecek değişik yolları araştırmaları gerekmektedir. Çok önceleri cracking ve hacking işine hevesli gençler loş ışıklı bir odada oturup daha önceden hazırladıkları ip listesinden bilgisayarlara telnet yaparak yine her sistem için listeledikleri default şifreleri denemeye çalışırlardı sabaha kadar. Şansları olupta bir sisteme girebildiklerinde ise hemen password (UNIX sistemlerinde kullanıcı login ve şifrelerinin saklandığı dosya) dosyasını indirerek herhangi bir şifre kırıcıya baş vururlardı ve kırdıkları şifrelerle sisteme erişim sağlarlardı. Tabi bu çok uzun ve zahmetli olduğundan tüm bu işleri otomatik olarak yapacak ve sabahleyin crackerın yatağından kalktığında zayıflıklar içeren sistemlerin bir listesinin ekrana hazır bulacağı programlar geliştirildi. İşte bunlar güvenlik dünyasında tüm zamanların en çok meşhur hacking aracı olan kabul edilen tarayıcılardır (scanners)


Tarayıcılar uzak bir sistemde olabilecek tüm zayıflıkları tarayarak rapor üretir. Bir cracker hiç bir şey bilmese bile bu tarayıcıları çalıştırarak sistemlerdeki zayıflıkları belirleyebilir. Ancak sadece bir tarayıcı bir sistemi hack etmek için tek başına bir işe yaramayacaktır. Tarayıcılar sadece sistemlerdeki zayıf olabilecek noktaları otomatik olarak bulmaya yaramaktadır. Cracker ve hacker'ların işini biraz daha kolaylaştırmaktadır. Bulunan bu zayıflıklardan nasıl yararlanılacağı o zayıflıkla ilgili özel bir konu olduğu için sistemin ve zayıflığın çok iyi bilinmesi gereklidir. Eline her tarayıcı geçirenin bir cracker olduğunu düşünmek yanlış olur. Ancak bunları her zaman kullanan ve bulduğu açıkları araştırarak bu açıklardan yararlanan programları da kullanan script kiddieler internet için çok tehlikeli olabilmektedirler.

Tarayıcılar çok değişik amaçlar için yazılabilir, sistemdeki açık portları gösteren tcp port tarayıcısı, sistemdeki zayıflıkları bulan zayıflık tarayıcıları, bilgisayarları tarayan ağ tarayıcıları gibi.

Tarayıcı denince akla ilk gelen isim meşhur SATAN'dır. Uzak sistemlerdeki güvenlik zayıflıklarını otomatik olarak tespit eden SATAN (Security Administrator's Tool for Analyzing Networks) Internet güvenliğinde artık efsane olmuş Dan Farmet ve Wietse Venema tarafından yazılmıştır. Bu isimleri ileride de çok duyacaksınız. SATAN HTML browser üzerinden çalıştırıldığı için çok kolay bir ara yüze sahiptir. Bir cracker sadece bir tıklamayla bir sistemdeki zayıflıkları tarayabilir. SATAN'la ilgili daha geniş bilgiyi ilerideki bölümlerde daha geniş inceleyeceğiz ve SATAN'ın Linux kopyasının nasıl çalıştırabileceğimizi göreceğiz.

Uzak sistemlerdeki zayıflıkları taramak için SATAN'dan başka bir sürü tarayıcı mevcuttur. Bunlardan Internet Security Scanner (ISS), Strobe, Network Security Scanner (NSS), idenTCPscan ve Jakal (Adı gibi tam bir çakal tarayıcı olan Jakal hacker'lar arasında favori araçlardandır. En belirgin özelliği bir güvenlik duvarının arkasındaki servisleri bile tarayabilmesidir ) verilebilir. Bunları ve daha bir çok güvenlik tarayıcısını ileride tek tek inceleyeceğiz.

Burda saydığımız tarayıcılar genellikle araştırma amaçlı yazılmış ve açık kodlu olarak kullanıcıların kullanımına sunulmuştur. Yani bir SATAN tarayıcısını Linux için koduyla birlikte internetten indirebilirsiniz. (Gerçi SATAN'ı Linux'te çalıştırabilmek için çok uğraşmak gerekiyor ama bu tarayıcıların çoğu Linux altında derlenerek sorunsuz çalışıyorlar.) Bunlardan başka internette özel olarak yazılmış Windows, Linux ve diğer sistemler için binlerce tarayıcı bulabilirsiniz. Ayrıca kurumsal kullanıcılar için ticari amaçla üretilmiş yüzbinlece dolara satılan tarayıcılar da mevcut.
Kısacası tarayıcılar kötü ve ne yaptığını bilen bir kişinin elinde tam bir ölüm makinesidir. Diğer yandan ne yaptığını bilen sistem yöneticileri elinde ise tam bir savunma silahıdır.

Şifre kırıcıları: Şifre kırıcıları (password crackers) aslında çoğu zaman yanlış anlaşılmaktadır. Bir şifre kırıcısı tüm şifrelenmiş şifreleri kırar diye bir kural yoktur. Zaten şifre kırıcıları şifreyi deşifre etme işlemini yapamaz. Sadece şifreleme işlemini yapabilmektedir. Günümüzde şifrelerin şifreleme işlemi tek yönlü olarak yapılmaktadır. Yani iyi seçilmiş bir şifrenin

şifrelenmesinden sonra deşifre edilerek geri alınması tamamen imkansızdır. Bunu bilmeyen bazı kullanıcıları neden şifrelerini her unuttuklarında bir Novell yada NT sistem yöneticisinin bile şifrelerini öğrenemediğini ve her seferinde yeni bir şifre verdiklerini anlayamamaktadırlar. Nedeni çok basit şifrenin sahibi yada sistemdeki en yetkili kişi olan sistem yöneticisi bile şifrelenmiş bir şifreyi öğrenemez.

Şifre kırıcıların çalışma mantığı basittir: eğer şifreyi çözemiyorsan şifreleme algoritmasını kullanarak tüm ihtimallerini deneyerek şifrelenmiş bilgiyle karşılaştırırsın aynı ise şifreyi kırdın demektir.

Bu şifre kırıcıları bir sistemin şifre dosyasının ele geçirdiğinizde işe yaramaktadır. İşte bu yüzden cracker'ların bir sisteme erişim sağladığında ilk yaptığı şey bu şifre dosyasını ele geçirmeye çalışmaktır.
Bu tür programlar arasında en tanınmış olanlarından: DOS ortamında UNIX şifrelerini kırmak için yazılmış CrackerJack, DOS/Windows için yazılmış John the Ripper örnek olarak verilebilir. İleriki bölümlerde şifre kırıcılarını ayrıntılı olarak inceleyeceğiz.

Trojan Atları: Trojan atları genellikle zararlı değilmiş gibi görünen programlar içerisinde yerleşen zararlı programlardır. İlk olarak UNIX ortamında çıkıp yayılmalarına karşın artık Windows ortamında da bol bol trojan görülmektedir. Trojan programları genellikle virüs programlarıyla karıştırılmaktadırlar. Virüsler bulaştıkları sisteme zarar vermek ve başka sistemlere yayılmak amacıyla yazılmışlardır ve genellikle kullanıcı tarafından yaptığı şüpheli işlemler sayesinde kolaylıkla tespit edilebilirler. Ancak bir trojan kesinlikle sisteme zarar vermez, zarar verse o zaman virüs olurdu. Trojanların yazım amacı yerleştiği sistemde bir arka kapı oluşturması ve gizlice topladığı bilgileri trojan sahibine bildirmesidir. Bir nevi casus diyebiliriz. Trojanlar sistemde belirgin bir aktivite yapmadıkları için genellikle ya rastlantı eseri tespit edilirler ya da özellikle trojan avına çıkmış avcılar tarafından tespit edilirler. Trojanlar için örnek vermek gerekirse SubSeven trojanını verebiliriz. SubSeven trojanı (aslında yazılım amacı sistemlere uzaktan erişim ve kontrol sağlamaktı) başka bir exe programa eklenerek kullanıcıdan habersiz olarak sistemine bulaştırılır ve daha sonra sisteme erişim sağlanır. SubSeven trojanını ve daha geniş bilgiyi ileriki bölümlerde bulabilirsiniz.

Sniffer'lar: Sniffer'lar da aslında bir nevi trojan gibidirler. Sniffer genel anlamda özel bir konuşmanın gizlice dinlenmesi olarak nitelendirilebilir. TCP/IP protokolünü kullanan bir Ethernet ağında bilgisayarlar birbiriyle haberleşirken IP numarasını kullanırlar. Her bilgisayar konuşacağı bilgisayarın ip numarasını öğrenir ve göndereceği paketlere o bilgisayarın ip numarasını yazarak yollar. Ancak ağ üzerinden gelen binlerce paket içerisinde ise sadece kendi ip numarası geçen paketleri dinler. Böylece her bilgisayar kendisiyle ilgili olan bilgileri alıp göndermiş olur.


Ancak kötü niyetli bir kişi herhangi bir bilgisayarın üzerine yükleyeceği bir programla ağ üzerinden geçen tüm paketleri okuyabilir. Bunun ne demek olduğunu bir düşünün? Bir kullanıcı bir sunucuya kullanıcı adı ve şifresiyle bağlanmak istiyor ve bu bilgiler ağ üzerinde şifrelenmemiş text olarak gidiyor ve siz de ağı dinliyorsunuz!

Aslında sniffer'lar çok daha masum bir amaç için çıkmıştır. Ağ üzerinde meydana gelen sorunları daha rahat tespit edip çözebilmek için yazılmışlardır. Sniffer'ları kullanarak ağ trafiği hakkında bir çok şey öğrenmek mümkün. Mesela Netscape tarayıcısının bir HTTP sunucusuyla nasıl bir iletişim kurduğunu bir sniffer sayesinde çok rahat anlayabilirsiniz. Yada bir Windows ağında ne gibi iletişimler kuruluyor öğrenebilirsiniz. Kısacası sniffer'lar ağ yöneticileri (tabiki cracker'lar için de) için vazgeçilmezler arasındadırlar.

Örnek olarak Gobbler, Netman, Sunsniff programlarını verebiliriz. Ayrıca Windows GUI ortamında yazılmış yüzlerce özel program da bulabilirsiniz internette. Ancak UNIX ortamı için C dilinde yazılmış kaynak kodu ile dağıtılan sniffer'lar genellikle cracker'ların tercihi olmaktadır. Çünkü bir siteme giren bir cracker bu programı o sisteme indirip orda derleyip gizli olarak çalıştırabilir ve daha sonra da gelip ağdaki şifreleri ele geçirebilir. Windows GUI'de cicili bicili yazılmış bir program pek işine yaramaz.

Tabiki aslında bu konuları genişletmek mümkün. Örnek olarak şifre kırıcıları günümüzde pek çok değişik alana uygulanmıştır. HTML tabanlı şifre sistemlerinin kırılmasında da benzer bir teknik kullanılarak (deneme yanılma yoluyla) şifre kırıcı programlar yazılmıştır. Yine spoofing saldırıları için yazılmış araçları örnek verebiliriz. Burda verdiğim araçlar temel olarak bilinmesi gereken araçlardır. Bir cracker'ın yada bir hacker'ın alet çantasında bulunması gereken araçlardır bunlar. Bu araçları ve teknikleri iyi anlayarak kulanılan diğer araç ve teknikleri de iyi anlayabiliriz.
Düşmanın elindeki imkan ve kabiliyeti bilmeden savaşa girmek akıllıca değildir.

Saygılar.


Düzenleyen megabros - 08-04-2010 Saat 00:40
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.176 Saniyede Yüklendi.