Giris
1. Bilgi Toplama
2. Isletim Sisteminin Belirlenmesi
3. Açiklarin Aranmasi
4. Test Saldirisi Yapilmasi
5. Kullanilacak Araçlar
6. Saldiri Staratejisinin Belirlenmesi
7. Inceleme Asamasi
8. Sonuç

Bu bölümde bir cracker’in planli bir saldiriyi nasil yaptigini adim adim inceleyecegiz. Burada anlatilan islemler bir saldirganin uzaktan bir sisteme nasil saldirdigini anlatmaktadir.

Cracker’larin sisteme saldirilari nasil yaptigini bilirsek bu sekilde kendi sistemlerimizde gerekli tedbirleri daha bilinçli olarak alarak sistemimizi daha iyi koruyabiliriz diye düsünüyorum. Bu nedenle konunun bundan sonraki kismina planli olarak yapilan bir saldirinin asamalarini göstermek istiyorum.

Genelde pratik olarak yapilan saldirilarda (daha çok aceleci olan script kiddie’ler tarafindan yapilan saldirilardir bunlar) burada anlatilan asamalarin çogu atlanabilmektedir.

Öncelikle saldiri yapilacak hedef sistemde herhangi bir firewall olmadigini var sayiyoruz. (Tabi artik günümüzde firewall network için vazgeçilmez bir araç haline gelmistir ve gün geçtikçe Internet’e bir sekilde firewall kullanmadan baglanan bir sistem bulmak imkansizlasmaktadir.)

Burada anlatilacak olan teknikler cracking için genel bir yöntemdir. Yani her türlü sisteme saldirmak için kullanilabilir ancak biz UNIX sistemi açisindan saldirilari inceleyecegiz.

Simdi ilk asamadan baslayarak bir yetenekli ve kararli bir cracker’in bir sisteme nasil saldiracagini inceleyelim:

1. Bilgi Toplama

Cracker’in yapacagi ilk is, saldiri yapilacak hedef sistemin kendisiyle dogrudan bir iletisime gerek duymaz! Yani cracker ilk olarak karsidaki sistemin network tipini ve hedef makineler hakkinda bilgi edindikten sonra, hedef sistemde urastigi kisiyi tanimak için onunla ilgili bilgi toplamaya çalisacaktir. Söz konusu kisi tabiki sistemin yöneticiligini yapan root erisimine sahip yöneticidir.

Cracker sistem hakkinda bilgi toplamak için asagidaki teknikleri kullanacaktir:

a-) Agda bulunan tüm sistemlerle ilgili bilgi toplamak için host sorgusu çalistiracaktir. host komutu domain adi sunucularini (DNS servers) sorgulayarak ag hakkindaki bulunabilecek tüm bilgileri toplar.

Domain adi sunucusu o domainle ilgili bir çok bilgi tutarlar, asil amaci alan adlarini IP numaralarina dönüstürmektir ancak ayni zamanda o sistemin donanim ve üzerinde çalisan isletim sistemi gibi bilgileri de saklarlar. nslookup komutu bir DNS sunucusunu sorgulamak için kullanilan komuttur. host komutu da nslookup komutuna benzer ama daha açiklayici ve ayrintili bilgi verir. Bu nedenle host komutu en tehlikeli on komut listesinde yer alir!

Örnek olarak bir domain sunucusuna yapilan bir host sorgusunun sonucuna bakalim:

host -l -v -t any bu.edu

...
bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX
PPP-77-25.bu.edu 86400 IN A 128.197.7.237
PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
PPP-77-26.bu.edu 86400 IN A 128.197.7.238
PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
ODIE.bu.edu 86400 IN A 128.197.10.52
ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU
ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1

...
STRAUSS.bu.edu 86400 IN HINFO PC-PENTIUM DOS/WINDOWS
BURULLUS.bu.edu 86400 IN HINFO SUN-3/50 UNIX (Ouch)
GEORGETOWN.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
CHEEZWIZ.bu.edu 86400 IN HINFO SGI-INDIGO-2 UNIX
POLLUX.bu.edu 86400 IN HINFO SUN-4/20-SPARCSTATION-SLC UNIX
SFA109-PC201.bu.edu 86400 IN HINFO PC MS-DOS/WINDOWS
UH-PC002-CT.bu.edu 86400 IN HINFO PC-CLONE MS-DOS
SOFTWARE.bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/30 UNIX
CABMAC.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
VIDUAL.bu.edu 86400 IN HINFO SGI-INDY IRIX
KIOSK-GB.bu.edu 86400 IN HINFO GATORBOX GATORWARE
CLARINET.bu.edu 86400 IN HINFO VISUAL-X-19-TURBO X-SERVER
DUNCAN.bu.edu 86400 IN HINFO DEC-ALPHA-3000/400 OSF1
MILHOUSE.bu.edu 86400 IN HINFO VAXSTATION-II/GPX UNIX
PSY81-PC150.bu.edu 86400 IN HINFO PC WINDOWS-95
BUPHYC.bu.edu 86400 IN HINFO VAX-4000/300 OpenVMS
....

Bu çiktidan da görüldügü gibi host komutu ag ile ilgili olarak çok tehlikeli olabilecek sonuçlar vermektedir. Yukarida ki satirlardan da görüldügü gibi agda bulunan makinelerin IP numaralari, isletim sistemi ve makinenin ne oldugu ögrenilebilmektedir.

DNS sunucusunun bu tür bilgileri Internet’te herkese vermesini engellemek için çesitli önlemler alinabilir.
Bunun için firewall kullanilabilir.
Alan adi sunucu sorgularinin sadece belli bir adres grubu tarafindan yapilmasina izin verilebilir.
Yada bu sunuculara disardan erisim tamamen engellenebilir.

DNS sunucusunun (BIND sunucusu) konfigüre etmek için /etc/named.conf dosyasi kullanilmaktadir.

b-) Standart WHOIS sorgusu. Bu sorguyla cracker o sistemin teknik sorumlusunun bilgilerini almak için kullanir. Bu kisinin e-posta adresi fazla önemli gibi görünmese de bu adres sistem hakkinda çok önemli bilgiler toplamak için kullanilabilir.

c-) Usenet ve Web sayfalarinda aram yapmak. Cracker sisteme saldirmadan önce simdiye kadar ögrendigi bilgiler dogrultusunda Internet’te o sistemle ilgili daha fazla bilgiye erismek için aramalar yapacaktir. Yani Cracker eline geçirdigi sistem yöneticilerin yada teknik sorumlularin e-posta adreslerini kullanarak bu kisilerim Usenet yada güvenlikle ilgili mail listelerinde görünüp görünmediklerini arastirir.

Cracker’in ilk olarak sistem yöneticisi yada sorumlusunun e-posta adresini aramasi ve bu kisinin bu adresi Internet’te aramasi biraz anlasilmaz gelebilir.

Ancak sistem yöneticisi sistemin günlük olarak yönetimini yapmaktadir ve sistemde çikabilecek sorunlarla ilgili olarak Usenet haber gruplarina ve güvenlikle ilgili mail listelerine basvurmus olabilir. Dolayisiyla cracker buralardan sistem yöneticisinin kendi sistemiyle ilgili olarak vermis olabilecegi her türlü bilgiyi toplamaya çalismaktadir.

Bu konuda bariz bir örnek verecek olursak, bazen sistem yöneticileri o kadar dikkatsiz olmaktadirlar ki bir haber grubunda bir sounla ilgili olarak tartisirken sistemleri hakkinda baskalarinin bilmemesi gereken bilgileri bile verebilmektedirler.

Sistemlerinin root sifresini bile verenlere rastlanabiliyor. Bu sekilde, yani haber gruplarindan ele geçirilen root sifreleriyle crack edilen bir sürü sistem vardir!

Ancak burda cracker için asil zor olan kisim sistem yöneticisinin kullanici ID ve e-posta adresini dogru olarak ele geçirmesidir. Bunun için çesitli yollari deneyecektir cracker.

Sistem yöneticisinin diger network’larda bulunabilecek account’larini da takip edebilir. Bunu takip etmek için cracker finger ve ruser gibi komutlari kullanabilir. Bildiginiz gibi finger komutu sisteme logon olan kullanicilari göstermektedir. Ayrica finger sistemde logon olmayan bir kullanicinin en son nereden login oldugunu da gösterir. Iste yöneticinin en son login oldugu sistemlerdeki adresi de takip edilerek bu kisiyle ilgili diger bilgilere erismeyi deneyebilir.

Finger Sorgulari : Finger sorgulari bir cracker için yukarida degindigimiz gibi sistem hakkinda çok fazla bilgi verebilir. Sistemde logon olmus kullanici ID’lerini, isimlerini, en son login olduklari yeri, mail bilgileri gibi bir çok bilgi verir.

Cracker’imiz saldirdigi sistemde süphe uyandirmamak için Internet’te yüzlerce sitede bulunabilecek “finger gateway” lerini kullanacaktir. Bu sunucular bir web sayfasindan kullanicidan finger sorgusu gönderilecek olan sunucu adresini alir ve o sunucuya finger sorgusunu yollayarak yine sonuçlari ekrana getirir. Böylece cracker kendi gerçek IP numarasinin saldirdigi sistem loglarinda görünmesini engelleyebilir.

Tabi aslinda bu gerçek bir gizlilik saglamaz, hedef sistemdeki sistem yöneticisi çok fazla paranoyaksa bu finger gateway sunucusunun sistem yöneticisi ile temasa geçerek cracker’in gerçek IP adresini ele geçirebilir.

Bu sekilde çalisan diger bir yöntemse finger yönlendirme islemidir. Daha önceki bölümde gördügümüz gibi, cracker bir finger

finger kullanici@gercek_sunucu.com@gecici_sunucu.com

Aslinda finger bir sistemdeki kullanicilarin listesini çikarmak için kullanilan tek yol degildir bundan baska güvenlik dünyasinda çok fazla güvenlik açigi bulunmasiyla meshur olan sendmail programi da kullanilabilir.

Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir. Örnek olarak;

telnet smtp_sunucusu.com 25

Bu komut smtp_sunucusu.com sunucusunun 25 numarali portuna (yani SMTP portuna) telnet baglantisi saglar. SMTP mail göndermek için kullanilan bir protokoldür. Ancak telnet yapildiktan sonra SMTP sunucusunun izin verdigi bir dizi komut kullanilabilir. mail from, rcpt to, data , quit gibi komutlar çalistirilabilir. Ancak iki tane komut vardirki bunlar sistemdeki kullanicilar hakkinda bilgi vermektedir. Bunlar vrfy ve expn komutlaridir. Bu komutlar sistemde bulunan bir kullanici ID’sini onaylamak için kullanilirlar.

telnet islemini yaptiktan ve sunucuya baglanildiktan sonra telnet ekraninda asagidaki gibi bir komut girilebilir:

vrfy savas
250 Savas Kose <savas@smtp_sunucusu.com>

Buradaki 2. satir smtp sunucusunun bize gönderdigi cevap satiridir. SMTP 250 dönüs degeri basarili bir islem oldugunu belirtir ve savas kullanicisinin gerçekten sistemde oldugunu ve gerçek isminin Savas Kose oldugunu belirtir. Ayrica satirin devaminda bu kullanicinin email adresinin de vermektedir.

Eger sunucuda bu kisi yoksa sunucu 550 dönüs degeriyle hata verecektir.

vrfy savas
500 savas... User unknown

Burdan da sistemde böyle bir kullanici olmadigi anlasilir. Bu örnekten de anlasildigi gibi cracker’lar sistem hakkinda bilgi toplamak için çok degisik yöntemleri denemektedirler.

sendmail’in bu özelligi genellikle sistem yöneticileri tarafindan bilinmedigi için hiç bir önlem alinmaz.

sendmail’in bazi sürümlerinde bu komutlar çalismazken bazilarinda bu komutlar sorgulanan kullanici ismini aynen getirmektedir.

Ancak kullanilan sendmail programinin bu komutlara izin verip vermedigi kontrol edilmelidir. Eger izin veriyorsa bu komutlarin çalismasi sendmail konfigürasyon dosyasindan engellenmelidir. Bunun için /etc/sendmail.cf dosyasina asagidaki satirin girilmesi yeterli olacaktir.

O PrivacyOptions=goaway

Diger yandan sendmail konusunda güvenlik yönünden yapilmasi gereken bir çok ayar vardir bunlar için sendmail’in dökümantasyonunda güvenlik konusuna bakilabilir. (sendmail sistemini ayrintili olarak anlatan O’REILLY’den “sendmail” adli kitap yararli olabilir.)

Cracker sistem hakkinda bilgi toplamak için bilinen tüm yollari deneyebilir. Daha önce de degindigimiz bu yöntemleri kisaca hatirlatmak için güvenlik dünyasinda yazdiklari araçlarla çok ünlü olan Dan Farmer ve Wietse Venema’nin yazdigi bir makaleden (improving security by breaking into it) alinti vermek istiyorum:

“Ilk olarak saldirdiginiz sistemle ilgili olarak mümkün oldugu kadar bilgi toplamaya çalisin. Bunun yapmak için kullanilabilecek çok zengin network servisleri vardir: finger, showmount, rpcinfo komutlari iyi birer baslangiçtir. Ancak sadece bunlarla yetinmemelisiniz ayrica DNS, whois, sendmail(smtp), ftp, uucp ve bulabildiginiz tüm servisleri kullanmalisiniz.”

Bu açiklamadan da anlasildigi gibi bir sistem hakkinda edinilebilecek her türlü bilgi saldiri için ise yarayabilir.

2. Isletim Sisteminin Belirlenmesi

Cracker sistem yöneticisi ve ag hakkinda gerekli bilgileri topladiktan sonra saldiracagi agda bulunan sistemlerde kullanilan isletim sistemlerini ve sürümlerini belirlemek için bir önceki kisimda anlatilan tekniklerin disinda çesitli teknikleri deneyebilir.

Günümüzde artik aglar daha fazla heterojen bir yapiya sahiptir. Ayni agda çok degisik donanim ve isletim sistemleri kullanilabilmektedir. Ancak bu güvenlik yönünden çok daha fazla açik olmasina neden olacaktir. Ne kadar çok isletim sistemi varsa o kadar da güvenlik açigi olacaktir. Çünkü her sistem kendisine özgü güvenlik açiklari içerebilir ve bu sekildeki bir agda cracker’in bir güvenlik açigi bulmasi ve tüm ag’in güvenligini tehlike altina atmasi kaçinilmazdir.

Cracker isletim sistemlerini belirlemek için ftp, telnet gibi servisleri deneyebilecegi gibi hemen hemen kesin çözüm verecek olan bir araç ta kulanabilir. Bu araçlardan biri nmap aracidir. nmap aslinda bir port tarayicisidir. Ancak nmap ayni zamanda taranan sistemdeki çalisan isletim sistemini de büyük bir dogruluk oraniyla tahmin edebilmektedir.

Starting nmapNT V. 2.53 by [email protected]
eEye Digital Security ( http://www.eEye.com )
based on nmap by [email protected] ( www.insecure.org/nmap/ )

We skillfully deduced that your address is 0.0.0.0
Host www.xxx.xxx (95.40.33.34) appears to be up ... good.
Initiating SYN half-open stealth scan against www.xxx.xxx (95.40.33.34)

...

21/tcp open ftp
80/tcp open http
135/tcp open unknown
139/tcp open unknown
6667/tcp open irc
6668/tcp open irc

TCP Sequence Prediction: Class=trivial time dependency
Difficulty=4 (Trivial joke)

Sequence numbers: 3F065 3F066 3F071 3F07A 3F07E 3F088
Remote operating system guess: Windows NT4 / Win95 / Win98

Nmap run completed -- 1 IP address (1 host up) scanned in 72 seconds

Yukaridaki çiktidan anlasildigi gibi isletim sistemi Windows platformunu kullanmaktadir. (nmap isletim sistemini tahmin edebilmek için TCP/IP stack gerçeklemelerindeki farkliliklardan yararlanir. Ancak tüm windows platformlarinin TCP/IP yapisi ayni üretici tarafindan yazildigi için hepsinin verdigi cevaplar aynidir. Dolayisiyla nmap windows platformlarini tam olarak ayiramamaktadir. Yukarida isletim sisteminin Windows NT4, Win95 ya da Win98 olabilecegini söylemektedir.)

Degisik isletim sistemlerini bulan cracker’in bir sonraki isi artik bu isletim sistemleriyle ilgili bir çalisma yapmaktir. Bunun için tüm isletim sistemlerini ve makine tiplerini gösteren bir liste oluturulmalidir. Bu liste daha sonra cracker’in o platformlarla ilgili bilinen tüm güvenlik açiklarini bulmasina yardimci olacaktir.

(Bu noktada bazi cracker’lar çok aceleci olup hemen karsi sistemlere karsi otomatik güvenlik tarayicilarini kullanmaktadirlar, SATAN, SAINT, ISS.. gibi ancak ilk etapta bunu yapmak tam olarak dogru degildir. Zira bu tarayicilarin kendi alanlarinda tam olarak tüm açiklari taradigini söyleyemeyiz. Zira her gün yeni açiklar çiktigi için bu tarayicilarin bunlari da bulmasini bekleyemeyiz. Dolayisiyla cracker’in platformlarla ilgili tüm açiklari Internet’ten aramasi akillica bir yöntemdir.)

3. Açiklarin Aranmasi

Cracker saldiracagi sistemlerin listesini çikardiktan sonra her bir platform için bilinen açiklari Internet’te aramaya baslayacaktir. Bunun için ziyaret edilmesi gereken bir çok site mevcuttur.

Bunun için firewall mailing list, http://www.netsys.com/firewalls/ascii-index.html

CERT adresi, http://www.cert.com

Artik güvenlik dünyasinda bir standart haline gelen BUGTRAQ http://www.securityfocus.com/bugtraq

Burada dikkat edilmesi gereken nokta bir açiklikla ilgili olarak ilk uyariyi okuduktan sonra, CERT veya DDN uyarilarinda, bu açiklamada o uyariyi tanimlayacak ismini bulmak gerekir. Bu genellikle uyarinin basinda verilmektedir. Örnek olarak daha önce degindigimiz AIX rlogin hatasinin adi, “AIX’s froot hole” seklindedir. Bunu yapmanin nedeni, bu tür uyarilarda genellikle güvenlik açigi ve onu kapatmanin yollari gösterilir. Ancak bu zayifligin nasil test edilecegi ve bundan nasil yararlanilacagi gösterilmez. Bunlar zaten bir cracker’in asil aradigi seylerdir.

Iste açiklarin ismini bulan cracker bu ismi Internet’teki diger mail listelerinde, BUGTRAQ, Firewall ..gibi. arayacaktir. Buralarda genellikle o açikla ilgili olarak test ve exploit script’leri verilmektedir. Bu scriptler otomatik olarak bir sistemde o açigin olup olmadigini test eden ve varsa ondan yararlanmaya çalisan programlardir.

Bu programlar genellikle bir shell yada C programi seklinde yayinlanmaktadirlar. Bu programlari, gerekli degisiklikleri yaparak cracker kendi sisteminde derleyip çalistirabilir.

Bu noktaya kadar cracker asagidaki adimlarin hepsini yada belli bir kismini belirlemistir:

-Sistem yöneticisinin kim oldugunu,
-Agdaki makineler ve islevleri
-Kullanilan isletim sistemlerini,
-Muhtemel güvenlik açiklarini,
-Sistem yöneticisi tarafindan topoloji, yönetim, politika yada sistem yönetimiyle ilgili Internet’te yaptigi herhangi bir tartisma

Bunlardan sonra cracker bir sonraki adima geçecektir.

4. Test Saldirisi Yapilmasi

Bu adimda cracker saldiracagi sistemle ilgili olarak bazi noktalari açiga kavusturmak için kendi sistemlerinde deneme saldirisi yapmayi deneyecektir. Bu adim, saldiriyi gerçekten yapmayi düsünen cracker’lar tarafindan yapilmaktadir. Çünkü bu adimda biraz para harcamak gerekebilir!

Bu noktada cracker karsi taraftaki makinenin bir benzerini elde etmeye çalisir. Örnek olarak karsi sistemde Solaris 2.4 varsa cracker benzer bir sistemi kurmalidir. Bunu yaparken cracker’in iki tane temel amaci vardir:

-Saldirilar saldiri yapan tarafindan nasil görünüyor,
-Saldirilar kurban tarafindan nasil görünüyor,
-Saldirgan saldirida bulundugu makinedeki log’lari inceleyerek karsi tarafta saldiri ile ilgili nelerin olup bittigini anlar. Bu sekilde cracker karsi sistemde saldirdan kalan izleri bilir. Her ssitemin kendine göre degisik logging islemleri vardir ve cracker en azindan bu log islemlerini bilmesi gerekmektedir. Hangi log dosyalarinin saldiri hakkinda log tutacagini bilmesi gerekmektedir.

Cracker’in bunu yapmasinin nedeni ele geçirdigi sistemden çikarken tüm geride biraktigi izleri silmek istemesidir. Sistemdeki log dosyalarini bildigi için bu dosyalara giderek kendisiyle ilgili tüm bilgileri silebilir. (Aslinda Internet bu islemleri degisik sistemler için otomatik olarak yapan script’ler de vardir. Ancak bu scriptler genellikle tam olmadigindan yada karsi sistemin konfigürasyonu standart disi oldugunda dogru olarak çalismamaktadirslar. Bu scriptlere güvenen cracker’lar çogu zaman loglari temizleyememektedirler )

Aslinda bu test adimi çok da zor bir adim degildir. Cracker istedigi sistemi arkadaslarindan bulmayi deneyebilir yada üniversitelerden bile yararlanabilir.

Not: Bu test saldirisi baska bir amaç için de kullanilir. Karsi sistemde hiç bir açik bulamayan bir cracker bu yöntemi deneyerek o sistemde bilinmeyen bir açik ta bulabilir. Bu anlattigim olay geçen yil Temmuz ayinda yapilan eWeek tarafindan düzenlenen birinci Openhack hacker yarismasinda bilinen hiç bir güvenlik açigi olmamasina ragmen sisteme sizmayi basaran ve ödülü alan cracker’in kullandigi yöntemdir.

Cracker tüm sistemi taradiktan sonra sistemde sadece 80 numarali yani HTTP portunun açik oldugunu buluyor ve baska bir saldiracak nokta olmadigi için WWW üzerinden saldirida bulunmayi deniyor. Tabi öncelikle karsi sistemde çalisan uygulamalari tespit ediyor. Sistemde MiniVend adinda bir e-Ticaret paketinin çalistigini görüyor. Tabi cracker’in bu sistemde olabilecek açiklari bulabilmesi için benzer bir makine üzerinde çalismasi gerekmektedir. Cracker bir arkadasinda bu uygulamanin oldugunu buluyor ve kendisine bir account vermesini isteyerek test makinesi üzerinde MiniVend uygulamasinin dosyalarini incelemeye basliyor ve kullanilan bir perl cgi programinda “open” komutunun güvensiz bir sekilde kullanildigini buluyor.

Daha önceki kisimda anlattigim gibi perl içinden sistem çagrilarinda sisteme geçirilen komut içinde metakarakter’lerin olup olmadigi test edilmelidir. MiniVend script’inde pipe ‘|’ karakteri kontrol edilmedigi için sisteme bu karakter kullanilarak istenilen bir komut çalistirilabilmektedir.

Cracker bu açigi buldugu baska bir açikla birlestirerek Web sunucusunu kirmayi basarmistir.

5. Kullanilacak Araçlar

Cracker bir sonraki adimda kullanacagi araçlari belirleyip toplayacaktir. Bu araçlar genellikle tarayicilardir. Hedef sistemdeki çalisan servislerin belirlemesi gerekmektedir.

Bunun için port tarayicilarindan yararlanilmaktadir. Port tarayicilari içinde en ünlü ve kapsamli olani nmap aracidir. Bu araca daha önce deginmistik. Isletim sistemi hakkinda edinilen bilgilere ve servislere göre tarayicilarin hangi alanlari ve açiklari tarayip taramadigi incelenmelidir.

Çünkü bazi tarayicilar bazi servisleri kapsayip bazilarini kapsamayabilir. Bu durumda birden fazla uygun tarayici kullanmak gerekmektedir. Bu tür araçlarin nasil çalistigini görmek için en iyi yol daha önceden bu araçlari bir sistem zerinde denemektir.

Sistemlerin açiklar yönünden çesitli araçlar tarafindan taranmasi artik günümüzde o kadar yaygin hale gelmiski sistem yöneticilerinin dikkatini bile çekmemektedir, yada çekse bile bu konuda fazla bir islem yapmamaktadirlar.

Örnek olarak standart bir Internet kullanicisinin sadece belli bir süre modemle Internet’e bagli oldugu süre içerisinde bile makinesine onlarca tarama gelebilir. Bunu normalde anlamak zordur. Ancak saldiri yakalama özelligi olan bir kisisel firewall (ZoneAlarm gibi) kurdugunuz zaman kimlerin makinenize saldirida bulundugunu görmek mümkündür. Hatta bazen o kadar çok olmaktadir ki siz Internet’te gezinirken bu saldirilarin uyarilariyla rahatsiz olabiliyorsunuz.

Bir sistemi taramak için kullanilabilecek araçlarla ilgili daha genis bilgiyi http://www.guvenlikhaber.com/doccenter/guvenlik/scanners.asp adresinden bulabilirsiniz.

6. Saldiri Staratejisinin Belirlenmesi

Cracker planli bir saldiriyi bir neden olmadan yapmayacaktir. Benzer bir sekilde saldiri yapacagi bir sisteme de belli bir plani olmadan saldirmayacaktir. Cracker’in saldiri stratejisi yapmak istedigi ise göre degisir.

Ancak bazi noktalar açiktir. Örnek olarak cracker topladigi tüm bilgilerden saldiracagi agin bazi bölümlerinin router, switch, birdge yada diger cihazlarla segmente edildigini bulursa bu kisimlari tarama disi birakabilir. Zira segmented bir agda bir bilgisayari ele geçirmek cracker için ana sisteme gitmek için ise yaramayacaktir. Çünkü segmente edilmis bir sistemde sniffer yada spoofing teknikleri router yada switch üzerinden geçemezler.

Cracker stratejisini de belirledikten sonra artik tarama islemine geçebilir. Kolay gelsin!

7. Inceleme Asamasi

Cracker taramalardan sonra buldugu sonuçlarin incelemesine baslayacaktir. Bu islem cracker’in buldugu sonuçlara baglidir. Ancak bu asama artik günümüzde çok kolay hale gelmistir.

Eski tarayicilar sadece buldugu açiklari listelemekte ancak bunlarla ilgili fazla bilgi vermemektedirler. Ancak artik çogu tarayici, SAINT, twwwscan, CIS... bulduklari açiklarla ilgili olarak açiklayici bilgi ve o açikla ilgili Internet adreslerini de vermektedirler. Hatta SATAN, SAINT gibi tarayicilar açiklarla ilgili veri tabanlari da tutmaktadirlar sadece bunlarin incelenmesi bile cracker için çok önemli bilgiler saglayabilir.

Bu noktada cracker daha önce açiklari toplamak için bas vurdugu sitelere giderek , BUGTRAQ gibi, buldugu açiklarla ilgili olarak daha ayrintili bir arastirma yapabilir.

Not: Burada sunu da belirtmek gerekir bir gecede mükemmel bir sistem yöneticisi yada mükemmel bir cracker olmanin yolu yoktur. Saldirilarin tabiatini tam olarak anlamak için güvenlik açiklarinin, kaynak kodlarin, isletim sistemlerinin haftalarca çalisilmasi gerekir.

Sabir ve tecrübenin yerini hiç bir sey alamaz. Örnek olarak çok ünlü bir cracker olan Kevin Mitnick ve yine çok ünlü bir hacker olan Weitse Venema, yaptiklari iyi yada kötü isleri, çok çalismaya, yaraticiliklarina ve kararli ve azimli olmaya borçludurlar.

Kiscasi konuya hakim olmayan bir sistem yöneticisi için bir Firewall hiç bir ise yaramayacagi gibi, yeni bir cracker için de SATAN gibi tarayicilar uzak bir sistemi crack etmek için bir ise yaramayacaklardir.

Iyi planlanmis güçlü bir saldiri yarim bilgisi olan bir cracker’in yapacagi is degildir. Sistemin derinliklerini iyi bilen ve kendisini TCP/IP konusunda çok egitmis bir kisinin isi olabilir...

8. Sonuç

Burada anlattigim teknikler kararli bir cracker’in sonuca varmak için yapacagi adimlari anlatmaktadir. Bunlari anlatmamin nedeni Internet ortaminda kimlerle karsi karsiya oldugumuzu ve onlarin neler yapiyor olabileceklerini bilmemiz içindir. Bu sekilde kendi sistemlerimize onlardan önce kendimiz saldirialrda bulunarak açiklarimizi kapatabiliriz.

Diger yandan bir cracker’in nerelerden nasil saldiricagini bilirsek ve atacagimiz adimlarda bu noktalara da dikkat ederek açik verecek bir durum olusturmamis oluruz.

Son olarak sistem yöneticileri için sistemlerini koruma yolunda kolay gelsin derken, diger sistemlere saldirmayi düsünen cracker, hacker ve script-kiddie’lere de dikkatli olmalarini tavsiye ediyorum, zira Türkiye’de henüz siber saldirilarla ilgili yaptirimlar olmasa da dünyada baslayan bu yasal önlemler dalgasinin bir gün bize de gelecegini hatirlatmak isterim.

Güvenlik Haber