Cyber-Warrior.Org \ Doküman \ IT Teknolojileri > IP Adres Analizi
| Madde |
| |
Yazar : Cyber-korsan |
| |
Date : 13.02.2011 12:27:08 |
| |
# IP Adres Analizi |
| |
Bilisim Suçlarinda IP Adres Analizi
Adli Bilisim Açisindan IP Adresleri
[Son zamanlarda medyada genis yer bulan çesitli haberlerin ana temasini IP adresleri olusturmaktadir. Bu yazi bilisim sistemleri kullanilarak islenen suçlarda suçlunun kendini hangi imkanlarla nasil gizleyebilecegi ve adli bilisim analizi yapanlarin IP adresleri konusunda nelere dikkat etmesi gerektigi konularini ele almaktadir.]
Bilisim Suçlarinda IP Adres Analizi
Giris
Günümüz modern insaninin hayati iki farkli dünyadan olusmaktadir. Bu dünyalardan biri fiziksel olarak yasadigimiz sosyal hayatimiz digeri de en az sosyal hayat kadar vakit geçirdigimiz ve bagimli oldugumuz siber dünyadir. Siber dünyanin sundugu olanaklar arttikça, gerçek hayattaki bir çok islev siber/sanal versiyonuyla yer degistirmektedir ki bu da insanlarin siber dünyaya daha fazla bagimli olmasina sebep olmaktadir. Siber dünya kavrami detayli olarak incelenirse bu dünyanin iki farkli profilde insanlara olanak sagladigi ortaya çikacaktir. Profillerden biri islerini daha rahat yapabilmek için siber dünyanin olanaklarini kullanan masum vatandas, digeri de bu dünyayi kötü amaçli kullanmak isteyen suç sebekeleri. 2000’li yillardan itibaren islenen suçlar yakindan incelenirse siber dünyanin -dolayisiyla da bilisimin- suç örgütleri tarafindan ciddi bir sekilde kullanildigi görülecektir. Siber dünya denildiginde ise akla ilk gelen bilesen Internetin de temel yapitaslarindan biri olan IP adresleridir. Bu yazida bilisim suçlarinda IP adreslerinin yeri ve önemi anlatilmaktadir.
IP(Internet Protocol) Adresi
Teknik olarak IP adresi, bir aga bagli cihazlarin birbirleriyle haberlesebilmesi için gerekli adrestir. Internet de aglari birbieine baglayan en büyük ag oldugu için internete bagli her bilgisayar bir IP adresine sahip olmalidir. Her ne kadar internet ortaminda isimler kullanilsa da (alan adlari) bilgisayarlar haberlesme için isimleri IP adreslerine çevirmektedir. Internete siber dünya olarak bakarsak IP, siber dünyada bizi adresleyen bir numaradir diyebiliriz. Gerçek hayatta nasil adresler tanimlanirken mahalle, sokak, ilçe, il seklinde tanimlaniyorsa sanal dünyada da IP adresleri benzer sekilde tanimlanmaktadir.
IP adreslerini kim dagitir?
IP adresleri IANA baskanliginda RIR(Regional Internet Registry) olarak adlandirilan organizasyonlar tarafindan dagitilir. Tüm dünyaya IP dagitan bes farkliRIR vardir. Bunlar bölgelere gore IP dagitim islemlerini üstlenmislerdir. Siradan Internet kullanicilarina(son kullanicilara) IP dagitim islemi hizmet aldiklari ISS(Internet servis saglayicisi)tarafindan yapilir. Bazi ISS’ler sabit IP adresi verebilirken bazi ISS’ler degisken IP adresi atamasi yapar.
IP Adresi Neden Önemlidir?
Siber dünyada bizleri tanimlayan ayirt edici en önemli özellik IP adreslerimizdir. Gerçek dünyadaki adreslerimizden farkli olarak siber dünyada IP adreslerimiz kimligimizdir. Bunun sebebi siber dünyada yapilan her islemde IP adreslerinin kullanilmasi ve ötesinde IP adres kullanilarak yapilan her tür islemden IP adresinin sahibinin sorumlu olmasidir.
Istedigim IP adresini kullanabilir miyim?
IP adresleri belirli bir hiyerarsi ve sisteme gore dagitilir ve dagitilan IP adresleri omurga yönlendiriciler tarafindan yönlendirilir. Dolayisiyla isteyen istedigi IP adresini kullanamaz. Bir IP adresinin kime, hangi kuruma ait oldugu RIR’ler üzerinden yapilacak sorgulamalarla belirlenebilir. Bu sorgulamalara “whois” adi verilir. Genellikle IP adresleri kurumlara verilir ve kurumda birileri IP adresinin alim islemlerinden sorumlu olur, whois sorgularinda çikan adresler genellikle IP adresleriyle ilgili bir sorun/talep oldugunda ulasilabilmek için verilir.
Bilisim Suçlarinda IP Adres Analizi 
IP Adresi Sahibini Bulma
Yapilan whois sorgusunda IP adresinin hangi kuruma ait oldugu ortaya çikacaktir. Buradaki kurum bilgilerini kullanarak IP adresinin gerçek sahibi bulunabilir. Internet servis saglayicilar 5651 sayili kanun geregi internet hizmeti verdikleri tüm kullanicilara ait erisim bilgilerini tutmakla yükümlüdürler. Kanun erisim bilgisini asagidaki gibi tanimlamaktadir:
Erisim saglayici trafik bilgisi: Internet ortamina erisime iliskin olarak abonenin adi, adi ve soyadi, adresi, telefon numarasi, abone baslangiç tarihi, abone iptal tarihi, sisteme baglanti tarih ve saat bilgisi, sistemden çikis tarih ve saat bilgisi, ilgili baglanti için verilen IP adresi ve baglanti noktalari gibi bilgileri,
Erisim saglayici trafik bilgisi: Internet ortamina erisime iliskin olarak abonenin adi, adi ve soyadi, adresi, telefon numarasi, abone baslangiç tarihi, abone iptal tarihi, sisteme baglanti tarih ve saat bilgisi, sistemden çikis tarih ve saat bilgisi, ilgili baglanti için verilen IP adresi ve baglanti noktalari gibi bilgiler.
Tanimdan da anlasilacagi üzere Türkiye içerisinde bir IP adresine ait sorumlular belirlenebilir. IP adresi Türkiye harici bir ülkeye aitse bu durumda yasal yollardan talep yapilarak ilgili ülkeden IP adresi sahibi bilgileri istenebilir fakat IP bilgileri istenen ülkenin kanunlarina göre bu bilgiyi almak kolay olmayabilir.
IP Adresinin Ait Oldugu Ülkenin Bulunmasi
IP adresleri dagitilirken sistematik ve hiyerarsik bir yapi kullanildigini belirtmistik. Bu sistematik yapida IP adreslerinin hangi ülkeye ait oldugu bilgisi rahatlikla bulunabilir. Google üzerinden “geo ip” “country ip blocks” anahtar kelimeleriyle yapilacak aramalarda bir ip adresinin hangi ülkeye ait oldugu bilgisi edinilebilir.
IP Spoofing Kavrami
Internetin çalismasini saglayan TCP/IP protokol ailesi gelistirilirken güvenlik temel amaç olmadigi için olabildigince esnek davranilmistir. Bu esneklik IP adreslerinin aldatilabilir(spoofed) olmasini saglamistir. Ip spoofing yaparak baskasinin IP adresinden istenilen internet aktivitesi yapilabilir.
Son yazdigimiz cümle bundan on sene öncesi için geçerli olsa da günümüzde pratik olarak geçersizdir. Bunun temel nedeni günümüz modern isletim sistemlerinin protokoldeki eksik noktalara kalici çözüm getirmeleridir. Özellikle internetde en sik kullanilan HTTP, SMTP, HTTPS gibi protokollerin temelinde bulunan TCP(TCP/IP protocol ailesinden) bu tip sahtecilik islemlerini engelleme amaçli bir yöntem kullanir. Bu yöntem kisaca 3 way handshake olarak adlandirilir ve kullanici bir islem yapmadan once kullanici ile sunucu bilgisayari arasinda bir iletisim kanali kurulmasini saglar. Bu iletisim kanalinin kurulmasinda kullanilan bazi parametrelere (ISN numaralari) günümüz isletim sistemlerinde oldukça güçlü oldugu için IP spoofing yapilamaz.
Kisacasi TCP kullanan uygulamalarda(web sayfalarini gezerken, e-posta gönderirken, bankacilik islemleri yaparken) teorik olarak IP spoofing mümkün olsa da pratik olarak mümkün gözükmemektedir. Bununla birlikte DNS gibi UDP kullanan uygulamalarda IP spoofing yapmak hala mümkündür.
Baskasinin IP Adresinden Nasil Suç Islenir?
Kisaca yukarda bahsettigimiz IP spoofing islemi kullanilarak istenen herhangi birinin IP adresinden ciddi suçlar islenemez ancak asagidaki durumlar olusursa istenilen IP adresinden suç islenebilir:
IP adresini kullanan bilgisayardaki güvenlik açikliklari kullanilarak ajan yazilimlar yüklenir ve bu yazilimlar kullanilarak IP Adresinden geliyormus gibi suç islenebilir. IP adresi eger NAT yapilan bir IP ise ilgili agda bulunan herhangi birinin makinesine bulastirilacak ajan yazilimlar sayesinde IP adresi kullanilarak suç islenebilir IP adresi eger ayni zamanda kablosuz aga sahipse bu kablosuz aga sizilarak IP adresinden suç islenebilir
Yukarda sayilan maddeler olusmasa bile IP adresiniz DoS saldirilarinda sizden habersiz kullanilabilir.
DDoS Saldirilarinda Kullanilan IP Adresleri
DDoS saldirilari herhangi bir sistemi çalisamaz hale getirmek için yapilan saldirilardir. Bu tip saldirilar genellikle binlerce farkli bilgisayar kullanilarak yapilir ve hedef sistemin kapasitesinin kaldiramayacagi kadar trafik gönderilir. DDoS saldirilarinda tercih edilen yönteme göre IP adresi spoof islemi gerçeklestirilebilir. Eger yapilan saldiri SYN Flood, UDP flood tarziysa saldirgan oturdugu yerden istedigi IP adresini spoof ederek saldiri gerçeklestirebilir. Bu da çesitli durumlarda iki firmayi gereksiz yere karsi karsiya getirebilir. Mesela X firmasindan aldigi üründen memnun kalmayan saldirgan internetten ücretsiz edinebilecegi basit araçlarla X firmasinin rakibi olan Y firmasina sanki X firmasindan geliyormuscasina DoS saldirisi gerçeklestirebilir. Y firmasi güvenlik sistemlerinde analiz yapildiginda saldirinin X sisteminden geldigi düsünülecektir. Yine benzeri sekilde zombi sistemler kullanilarak yapilan DDoS saldirilarinda kullanilan IP adresleri gerçek olsalar bile sahibinin haberi olmadan sisteme yüklenen zararli yazilimlarla gerçeklestirildigi için asil faili bulmak oldukça zor olacaktir.
Baska Ülkeden Geliyormus Gibi E-posta Göndermek
Ultrasurf, TOR gibi trafik anonimlestirme yazilimlari kullanilarak yapilan islemlerin farkli ülkelerden geliyormus gibi gözükmesi saglanabilir. E-posta kullaniminda sik kullanilan iki yöntem vardir: bunlardan biri webmail hizmeti kullanmak(Hotmail, Yahoo gibi servislerin kullanimi) digeri de Microsoft Outlook, Mozilla Thunderbird gibi e-posta istemcisi kullanmaktir. Her iki yöntemde de proxyler araciligiyla trafik istenilen ülkeden geliyormus gibi gösterilebilir fakat istenilen IP adresinden geliyormus gibi gösterilemez.
Ultrasurf kullanilarak yapilan bir web sayfasi ziyaretinde gözüken IP adresi bilgisi Gönderilen e-postanin baslik bilgileri incelenirse e-posta sahte dahi olsa nereden gönderildigi bilgisi edinilebilir.
Ücretsiz Anonim Proxy Hizmetleri
Internet üzerinde hizmet veren binlerce ücretsiz anonim proxy hizmeti bulunmaktadir. Bu hizmetlerden bazilari ülke bazinda özellestirilmis hizmet sunmaktadir. Yani proxy servisini kulanirken hangi ülkeden çikis yapilacagi belirtilerek tüm trafigin ilgili ülkeden çikmasi ve sunucularda o ülkeden geliyormus gibi gösterilmesi saglanabilir.
Bilisim Suçlarinda IP Adres Analizi
Istenilen Ülkeden IP Adresi Kullanma
Bu proxy kullanilarak yapilacak bir islemde asil faili bulmak oldukça zordur. Bunun temel nedeni internet üzerinde aktif çalisan binlerce proxy servisinin hangi kullanicinin hangi zaman diliminde nereye baglandigi bilgisini tutmamasidir.
Sonuç
Internet altyapisi kullanilarak islenen suçlarda süpheci davranilmalidir. Ele geçirilen bir IP adresinden yola çikarak yapilacak islemler isi tezgahlayan kisi tarafindan bilindiginden dolayi ise yaramayacaktir. Hatta özellikle yabanci IP adresleri kullanilarak belirli kisi/kurumlar töhmet altinda birakilmak istenebilir. Bu gibi durumlarda suçluyu bulmak gerçek hayata göre daha zor görünse de konusunun uzmani bir adli bilisimci suçlunun nereden geldigini, kendisini gizleyip gizlemedigini, gizlediyse hangi yöntemleri, araçlari kullanarak gizledigini ortaya çikarabilir. |
| |
|
| |
|
|
