Saldiri Senaryolari
1 - Hizmet Aksatma (Denial of Service - DoS)
DoS bir veya daha fazla ag servisini altüst eder veya tikar, bu yüzden de
servisin arkasindaki kisi veya servisin kendisi ag ile birlikte kullanilamaz
hale gelir. DoS esasen sistem kaynaklarini hedef alir. Tehlike altinda olan
servisler küçük bant genisligine sahip olan ve/veya aga herhangi bir tür
servis sunan ve güvenli olmayan uygulamalara sahip sistemlerdir. Bu tür
tehlikeleri en aza düsürmek için çesitli yollar vardir, bunlar akilli bant
genisligi yönetimi, ates duvarlari ve devamli yazilim güncellemeleri olarak
sayilabilir. Derin bir bilgiye sahip olmadan da hacker/cracker/ve-digerleri
gibi kisilerin bu çesit saldirilari deneyebilecegini bilmelisiniz.
DoS asagidakiler gibi siniflandirilabilir:
a) Sel (flooding)
Sunucu bilgisayara anlamsiz birçok veri veya istek gönderilir, bu
yüzden de sunucu bilgisayar asil isteklere gerektigi gibi cevap
veremez.
b) Smurfing
IP yayin sisteminin, bir grup sahte kaynak IP adresi kullanilarak (IPSpoofing)
güçlendirilmis bir sel (flooding) ile kötüye kullanilmasidir.
Bunun anlami sahte kaynak IP’li ICMP (Internet Denetim Iletisi
Iletisim Kurali) yanki paketlerinin (pings) yayinlama yoluyla birçok
sisteme gönderilmesidir. Bu olayda sahte IP adresleri hedefin IP
adresi ile aynidir. Bunun yayin servislerine gönderilmesiyle, diger
bilgisayarlar ping ile sahte IP’li bilgisayara cevap verirler (Bu hedefin
ta kendisidir) bu da hedefin sistem kaynaklarini kaybetmesini, bant
genisligini tamamen tüketmesini ve hedef bilgisayarin herhangibir
servis istegine kasi cevapsiz kalmasi sonucunu dogurur.
c) Bant Genisligi Doldurma / Parçalama Saldirisi
Bu tür saldirilar TCP/IP implementasyonu içerisinde bulunan hatalari,
servisleri veya sistemlerin tamamini devreden çikarmak için
kullanirlar.
d) SYN/RST Seli (SYN/RST Flooding)
TCP/IP implementasyonu içerisindeki bir zayiflik sayesinde birçok
SYN/RST paketi gönderilerek, hedef üzerinde gelen paketler yüzünden
bir tampon tasmasi olusturulmasi saglanir. Bu da hedefin servis
isteklerine karsi cevapsiz kalmasini saglar.
e) Özel DoS
Özel DoS örnegin web sunucularindaki tampon tasmasi gibi, hedef
bilgisayardaki bir servisin bilinen bir zayifligini kullanir.
2 - Kötü Niyetli Yazilim (Malicious Software)
Kötü niyetli bir yazilim, güvenlik politikasi dogru sekilde ayarlanmamissa,
mevcut degilse veya ihmal edilmisse her zaman sisteme girebilir. Örnegin
virüs tarayicilari, onlar virüsleri sistemden uzak tutarlar. Uygulama
seviyesinde çalisan ates duvarlari turuva atlarini ve dagitik solucanlari
durdurur.
a) Mantiksal Bomba (Logical Bomb)
Çesitli sartlar altinda sistemlere zarar veren programlardir. Ortaya
çikmalari genellikle program hatalari veya isletim sistemi hatalari ile
tetiklenmeleriyle olur. (Örnegin uygulamalar içerisindeki böcekler)
b) Arka kapilar (Backdoors)
Arka kapi bir program/uygulama içerisine yerlestirilmis, saldirganin
sisteme girmesi için bir kapi açan programdir. Açik kaynakli yazilimlar
kullanicilarin kolayca erisebilecegi hale geldiginden beri bir bakima
kapali yazilimlara göre daha güvenli olmuslardir. Derlenmis
programlarin güvenliginden emin olmak için bir yol, programin veya
kaynak kodunun üzerinde yapilan degisiklikleri haber vermek üzere
sayisal olarak imzalanmasidir.
c) Kurtlar (Worms)
Kurt kendini birçok bilgisayar agi üzerinden erisim kazanarak buldugu
birçok sisteme yayarak çogaltan programdir.
d) Virüs
Virüs kendini dosyalara ekleyen ve ekledigi yazilim dosyasi
çalistirildiginda aktif olup zararli kodunu calistiran programdir.
e) Turuva atlari (Trojans)
Truva ati sisteme giren ve kendini aktive eden bilgisayar programidir
(kullanicinin veya baska bir uygulamanin aktive etmesine ihtiyaç
duymaz).
3 - Zayiflik istismarlari (Exploiting Vulnerabilities)
Bir zayifligi istismar etmek, bilinen bir zaafin hedef sistem üzerinde
yetkisiz bir erisim saglamak veya zarar vermek amaciyla kötüye
kullanilmasidir. Iyi yönetilen sistemlerde zaaf olusturan zayif noktalari
tespit etmek ve acemi kullanicilardan korumak internet sayesinde kolay
olmustur. Bunun için tek karsi tedbir sisteminizin her zaman güncel
oldugundan emin olmanizdir.
Zayiflik istismarlari asagidaki gibi kategorilere ayrilabilir:
a) Erisim izinleri
Saldirgan önemli sistem dosyalari üstündeki zayif bir dosya iznini
kullanmayi dener. Bu normalde yazma iznine sahip fakat yazma
islemenine gerek duymayan sistem dosyalarina yazmak ve onlari
degistirmek seklindedir.
b) Kaba kuvvet (Brute Force)
Kaba kuvvetin anlami birçok yetki kodu, sifre veya kullanici-adi/sifre
yi sistemli bir sekilde bir servise veya sisteme erismek için
denemektir. Bu prosedür genellikle otomatiktir.
c) Tasmalar (Overflows)
Uzak sistem üzerinde bir tampon tasmasi ortaya çikran program
kodudur. Aslinda birçok acemi programci tamponlari statik olarak giris
verileri için kullanir, bunun anlami tampon boyutunun sabit olmasidir.
Daha fazla tampona gerek duyan giris verisi, tahsis edilmis olan
tampon disindaki bellek alanina da yazar. Programlama diline ve
kullanilan dosya tiplerine bagli olarak, çalisan gerçek kodun
bulundugu aktif bellegin üzerine yazabilirsiniz. (Ahh tanrim !,
burasinin sizi düsündürdügünü umarim) Eger düzenlenmis kod bellege
yerlestirilmisse hemen aktif olacaktir. (çünkü tampon doludur). Bu
noktada C de yazilmis programlarin, giris fonksiyonlarinin giris
tamponunu, yazilan giris fonksiyonlari ile ayristirarak yerel bir
katardan okumak için zorladigi yer tehlikededir. Bu tamponlar yiginda
yerlesmislerdir ayrica burasi fonksiyonlarin kaynak adreslerinin
yerlestigi yerdir. Bu tür yollari bilen bir saldirgan kolayca programin
asil yapmasi gerekenleri degistirebilir. Kötü ayarlanmis bir web
sunucu buna örnektir ve bu tür saldirilari kullanan bir saldirgan için
büyük bir ödül olabilir. Ayni zamanda CGI script’leri de tehlike
olusturmaktadir.
d) Yaris kosulu (Race Condition)
Bu tür bir saldiri hassas dosyalara ulasmayi saglamak üzere, bir
program çalisirken olusan geçici kararsiz bir durumu kullanir.
4 – IP Paket Modifikasyonu
IP paket modifikasyonu TCP/IP nin geçmisine dayanan çok uzun bir
yoldur. TCP/IP protokoller ailesi kullanilabilirligi güvenlikten daha önde
tutacak sekilde tasarlandi. IP yiginlari üzerinde yeni ataklarin
olusturulmasi çok fazla yetenek gerektirmektedir, bu tür saldirilara az
rastlanir fakat bunun yaninda da çok tehlikelidirler.
IP paket modifikasyonu asagidaki kategorilere ayrilabilir.
a) Port Sasirtma (Port Spoofing)
Iyi bilinen portlari (20/53/80 vs.. portlari), paket filtreleme kural
kümelerini asmak için kullanmak alisilageldiktir. (Ates duvarlari)
b) Ufak Parçalara Ayirma (Tiny Fragments)
Sadece 8 Byte boyutundaki paketler paket filtreleyen ates
duvarlarindaki protokol-bayrak/port-boyut-görüntülemeyi aldatabilir.
c) Kör IP Sasirtmasi (Blind IP Spoofing)
Bir saldirgan, sifre korumasi olmayan UDP tabanli servislere erisim
elde etmek için kaynak IP adresini degistirebilir, ayrica bu kaynak
IP’nin sahip oldugu izinlere baglidir.
d) Isim Sunucusu Sasirtma (Nameserver ID ’Snooping’)
Bu tahmin edilebilir tanitici numarasi ile birlikte IP aldatmanin
kullanildigi ve isim sunucusunun ön bellegine (DNS cache) sahte
verinin gönderildigi yöntemdir. Bu saldiri DNS-Aldatma olarak da
bilinir.
e) Sira Numarasi Tahmini (Sequence Number Guessing)
TCP SEQ/ACK numaralari sira numaralari tahmin edilebilir
bilgisayarlara baglanti saglamak amaciyla üretilir. Bu yüzden tüm
modern IP yiginlari kendi sira numaralarini rasgele üretirler. Tahmin
edilebilir sira numaralari IP yiginlari için uzun zaman büyük bir sorun
olmustur.
f) Uzak Oturum Katistirmasi (Remote Session Hijacking)
Sahte paketler yardimiyla, aktif TCP/UDP baglantilarini baska
bilgisayarlara yönlendirmek amaciyla kopartilir. Bunun anlami hedef
bilgisayarin hala gerçek sunucuya bagli oldugunu düsünmesidir, fakat
gerçekte saldirgan ile baglantidadir.
5 – Içeriden Gelen Saldirilar
Içeriden gelen saldirilar Internetin tamaminda meydana gelen saldirilarin
%80’nini olusturmaktadir. Bu soruna karsi savasmanin en iyi yolu
bilgisayar sistemini nasil ayarlayacagini bilmek, her zaman güncelliginden
emin olmak ve iyi korumaktir.
Içeriden gelen saldirilar asagidakiler gibi siniflandirilabilir.
a) Arka Kapi Yazilimlar (Backdoor Daemons)
Saldirganin daha sonra sisteme girebilecegi bir port (kapi) açacak olan
islemlerin baslatilmasidir.
b) Kayit Degistirme (Log Manipulation)
Neler olduguna dair izleri gizlemek için kayit dosyalari degistirilir veya
tamamen silinirler.
c) Paravanlastirma (Cloaking)
Sistem programlarinin sistemin parçalarina yetkisiz erisimi saglamak üzere
turuva atlari tarafindan degistirilmesidir.
d) Koklama (Sniffing)
Paket koklayicilari yerel olarak düz metin sifreler/kullanici-adlari gibi kritik
bilgileri yakalamak amaciyla kurulurlar.
e) Kör Olmayan IP Sasirtmasi (Non Blind Spoofing)
Saldirgan veri transferlerini görüntüleyerek, aktif baglantilara çengel
atabilir veya sahte baglanti olusturmakta kullanabilecegi birçok bilgiyi elde
edebilir.
