E-Mail Sistemleri Nasıl Çalışır?
Geleneksel posta sistemini düşünelim. Mektubunuzu yazarsınız. Zarfın üzerine adres yazıp, mektubu zarfa koyarsınız. Postaneye veya mektup kutusuna gidip mektubu atarsınız. Posta işleme merkezinde mektubunuz gideceği adrese göre ayrılır. Önce ilgili posta dağıtım merkezine gönderilir. Sonra postacı mektubunuzu yazdığınız adrese teslim eder. Mektubunuz, postaneye teslim ettiğiniz andan, alıcıya ulaşana kadar yasaların güvencesi altındadır. Kimsenin zarfı açmaya, kaybetmeye, yanlış adrese teslim etmeye hakkı yoktur. Özellikle "taahütlü" gönderiyi tercih etiyseniz mektubunuz bir kat daha güvencede demektir. Tabi özel ulak veya APS gibi gelişmiş başka seçenekler de vardır. Mektubunuz gideceği yola bağlı olarak en az bir kaç saat içinde alıcıya ulaşabilir.
Gelelim email sistemine. Uygun bir email kullanıcı programı ile mesajınızı yazarsınız. Adres satırına alıcının email adresini yazarsınız ve mesajı gönderirsiniz. Bağlı bulunduğunuz email sistemi mesajınızı alır ve alıcının bağlı bulunduğu email sistemine gönderir. Mesajınız, alıcının email kullanıcı programı hazır olduğunda alıcıya ulaşır. Bütün bu süreç birbirine bağlı elektronik sistemler üzerinde gerçekleşir. Mesajınızın güvenliği, mesajınızın şifrelenmesi ve kullandığınız email sistemlerinin güvenli olmasına bağlıdır. Mesajınız en az bir kaç saniye içinde alıcıya ulaşır.
Genel yapıları açısından geleneksel posta sistemi ile email sistemleri arasında büyük benzerlik vardır. Temel fark ise, geleneksel sistemde mesajınız nesnel bir ortamdadır (kâğıt vb), email mesajı ise elektriksel ve manyetik ortamdadır. Ortam farklılığı dolayısıyla mesajlarınızın güvenliği önemli ölçüde farklılıklar göstermektedir.
E-Mail Güvenliği İçin Yapmanız Gerekenler
1. E-mail adresi alırken doldurduğunuz form içinde eğer şifrenizi unuttuğunuz taktirde size sorulması gereken bir gizli soru seçeneği bulunmaktadır.Bu seçenek sevdiğiniz film, yemek veya hayvan ismi vs.. olabilir.
Sizin bu soruya cevabınız alakasız cevaplar şeklinde olmalıdır.
Örnek:
Gizli soru : sevdiğiniz film Cevabı : yengeçleryanyangider
Gizli soru : sevdiğiniz hayvan Cevabı : portakal
2. Bunların haricinde şifreleme konularında olduğu gibi mail gizli sorularını ve cevaplarını her yerde aynı kullanmamaya özen göstermelisiniz. Örnek olarak herhangi bir website üyeliğinde kullandığınız bir gizli sorusunu ve cevabını önemli bir email adresinizde kullanmayın.
3. Özel işlerde veya yazışmalarda kullanılan email adresleri website üyelikleri, forum veya sohbet servisleri için kullanılan email adreslerinden ayrı olmalıdır. Bu sayede hem spam maillerden hemde özel bilgilerinizin bulunduğu email adresinizin çalınmasını engellemiş olursunuz.
Aşağıda verilen e-mail çalma yöntemleri genel şifre ve bilgi çalma yöntemlerinide kapsamaktadır. Bu yöntemleri öğrenerek e-mail güvenliği hakkında birkaç şey daha öğrenmiş olacaksınız.
1. Fake Mail
Fake Mail gerçek bir mailin veya bilgi formunun içeriği ve görünüşünün sahte bir şekilde hazırlanmasıyla ortaya çıkan bir bilgi çalma yöntemidir. Sahte e-mail içerikleri, site üyelik girişleri, bilgi formları şeklinde hazırlanabilirler. Ayrıca e-mail içine virüslü bir dosya eklenebilir veya önceden hazırlanmış trojanlı bir site linki koyularak bu linkin ziyaret edilmesi sağlanabilir. Bu tür sahte mailleri hazırlayan kişinin iyi düzeyde programlama bilgisi varsa daha değişik şekillerde hazırlanmış fake maillerle karşılaşabilirsiniz.
Özel olarak hazırlanmış Fake Mailler ne gibi teknikler içeriyor inceleyelim
a ) Kullandığınız Email servisinden geliyormuş gibi ( Hotmail, Yahoo, vb. ) ilgilendiğiniz konuyla alakalı bir email gönderilir. İlgilendiğiniz konuya ulaşmanız için bir linke tıklamanız istenebilir bu sırada sahte bir şifre sorgu penceresi açılır ve size kullandığınız mail servisinde bir sorun olduğunu mail şifrenizi tekrar girmeniz gerektiği söylenir. Böylece girilen şifre bilgileri fake maili hazırlayan kişiye ulaşır.
İlgilendiğiniz konulara örnek olarak : Tanınmış sanatçılara ait konser biletleri için çekiliş, Spor Dalı, Bilgisayar, Gezi vb birçok konu ile ilgili mailler gelebilir.
b ) İlgilendiğiniz konu mailini açtığınızda size direkt olarak şifreniz sorulmayabilir. Konu devamında sitemize veya arkadaş grubumuza kayıt yaptırmak için gösterilen formu veya bilgileri doldurunuz gibi bir istekte bulunulabilir.Böyle bir form veya bilgi bölümleri gerçek olmayacağı için bu bilgiler direkt olarak Fake Maili hazırlayan kişiye ulaşacaktır.Mesela doldurulması zorunlu isim, soyad, postakodu, adres bilgileri, gizli soru seçenekleri, şifre gibi bölümleri doldurduk ve gönder diyerek bilgilerimizi gönderdik.Fake Maili hazırlayan kişi bu bilgileri alır ve çalmak istediği mail bilgilerinle almış olduğu bilgileri karşılaştırarak sonuca ulaşmaya çalışır.
c ) İlgilendiğiniz veya herhangi bir konuyla alakalı bir mail gönderildi varsayalım.İçinde bulunan linkleri veya butonları tıklamanız istenebilir.Örnek olarak anlatılan konuya ulaşmak için www.cyber-warrior.orgu tıklamanız gerekiyor.Fakat tıkladığınız link bu site yerine özel olarak hazırlanmış ve içinde virus bulunduran bir siteye gidiyor.Firewall programınız yoksa veya aktif değilse bilgisayarınıza yerleşen trojan veya virus sizin her türlü şifre bilginizin karşı tarafa gitmesini sağlayacaktır.
2. Trojan, Virüs, Backdoor, KeyLogger
Bir malware genellikle temel olarak 2 kısımdan oluşur. Bunlar server ve clienttir. Zararlı dosya hedef kişiye çeşitli yöntemlerle kabul ettirilmeye çalıştırtılmalıdır. Server dosyasını hedef kişi çalıştırdığı andan itibaren client ile hedef üzerinden veri gönderilir/alınır, ekran görüntüsü alınır, klavye vuruşları loglanır vs. Her malware farklı karakteristik özellikler barındırır. Bir keylogger veya trojan sayesinde hedef seçilen bilgisayarda yapılan işlemlerin logları edinilebilir. Keyloggerlar sonucu başka istenmeyen şeylerde yaşanabilir.. Avusturyadan Wenzl Thomas isimli şahsın online bankacılık yapması sonucu :
Saldırgana kalan parayı önce paypal hesabına transfer etmek, daha sonra belirli bir kesinti karşılığı banka kartına transfer etmek olacaktır.
3. Bilgileri Deneme Yanılma Yöntemi
Şifreleriniz tahmin edilebilir (isim-soyisim-futbol takımı, cep telefonu numaranız, doğum tarihiniz vs.) olmamalıdır. Olabildiğince farklı tip karakter barındıran şifreler kullanılmalıdır. Küçük/Büyük harf, rakam, sembol vs. Eğer izin verilmiş ise türkçe karakter (ö, ç, ş, ı, ğ) kullanmanız yabancı saldırıları kısmen engelleyecektir çünkü bir çok yazılım sadece Q klavye karakterlerini tanımakta..
Web uygulamaları saldırıya maruz kalıp, veritabanları ele geçirildiğinde saldırgan bir çok kullanıcı adı/şifre bilgisine ulaşacaktır. Bir çok uygulamanın artık veritabanlarında MD5 şifreleme sistemini kullandığını düşünürsek uzun ve karmaşık şifrelerin önemi bir kez daha anlaşılır. Çünkü 123456 gibi bir şifrenin MD5 ile şifreli hali oldukça çabuk kırılabilirken Sam?Sun_55&/ gibi bir şifrenin MD5ini kırmak yüzlerce yıl sürebilir.
Yukarıda ki şifrenin Md5 ile kriptolanmış hali : acf4f8427d0833728cf6920159cc172d
Bir şifre 2 farklı yerde kullanılmamalıdır.
4. İnternet Cafeler
Internet üzerindeki işlemlerinizi internet cafeleri kullanarak yapıyor olabilirsiniz veya evinizdeki bilgisayar sorunlarından dolayı cafelere gitmeniz gerekebilir. Bu durumda cafede kullandığınız bilgisayara daha önceden virüs veya trojan bulaşmış olabilir. Ayrıca bilgisayarı sizden önce kullanan kişi keylogger programı kurmuşsa tüm şifre bilgilerinizi çalabilir.
5. Bilgisayarınızdaki Açıklar
Bilgisayarınızdaki sistem güvenlik açıkları kullanılarak trojan, virus, backdoor, keylogger programları yerleştirilebilir ve şifre bilgileriniz çalınabilir.
6. Gizlilik Adımındaki Eksiklik
Başkaları tarafından ele geçirilmesini istemediğiniz mail adresinizi asla herhangi bir yere üye olmak için kullanmayınız !
Herhangi bir web sayfasına üye olduğunuz anda o sayfanın arama motorlarının robotları tarafından indexlenmesi sonucunda mail adresiniz bulunabilir olacaktır. Diğer bir ihtimal ise üyelik profilinizden adresinizin okunabilmesidir. Arama motoru kayıtlarına mail adresiniz girdiği anda spam listelerine de girdiniz demektir, brute force ile saldırı yapanlarında tesadüfen saldırı listesine dahil olabilirsiniz.
Üye olduğunuz web uygulamasının veri tabanı hacklendiği zaman büyük bir ihtimalle üyelik için kullandığınız şifre de ele geçirilecektir. Genel olarak kullanıcıların birçok yerde aynı şifreyi kullandığını düşünürsek bu ciddi bir durum.
7. Brute-Force ( Kaba Kuvvet)
Kimi yazılımlar wordlistleri (kelime listeleri), kimi yazılımlar rainbow tablolarını (daha çok kriptolu şifrelerin kırılmasında) kullanarak bu işlemi yapar. Tabi ki başka methodlarda vardır ancak genel olarak özelliği deneme-yanılma yöntemini kullanmasıdır. Kesin hedefi olmayan, rastgele saldıran kişilerce de kullanılabilir. Örn: RMC
RMC nedir kısaca tanımlayalım; RMC belirlenen şifreyi kullanan mail adreslerini, yoğun bir maillistesini kullanarak dener. Bu mail listesi harvester gibi yazılımlarla oluşturulabilir.
Her adrese 1 deneme yaptığından sunucular tarafından saldırı girişiminizin tespit edilmesi zordur. Ayrıca saldırgan kişi proxyde kullanılabilir.
Yazılımı test etmek için mail şifremi 123456 yaptım :
Bir milyon kişilik bir mail listesinde en azından binlerce kişinin mail şifresi 123456dır... Bunun gibi çok kullanılan kelimeleri ve sayıları deneyerek saldırı yapılabilir.
8. Phishing
Sosyal Mühendislik teknikleri kullanılarak, kurbanın Kredi, Debit/ATM Kart Numaraları/CVV2, Şifreler ve Parolalar, Hesap Numaraları, İnternet Bankacılığına Girişte Kullanılan Kullanıcı Kodu ve Şifreleri gibi büyük önem arz eden ve çok iyi korunması gereken bilgilerini, kurbanı aldatarak elde etme yöntemi olarak tanımlanabilir. Başka bir ifadeyle Phishing; kişileri, yasal bir şirket, ajans veya organizasyon olduğuna inandırarak, kişisel ve finansal bilgilerini ele geçirme yöntemidir.
Maili gönderen kişinin adresine aşina olmanız, bu mailin gerçekten o kişi tarafından yollandığı anlamına gelmez ! Gönderen kısmında yazan adres saldırgan tarafından istediği gibi değiştirilebilir. Örneğin [email_address] adresinden gelen bir mail ile hesap numaranız/şifreniz sorulabilir veya [email_address] gibi çeşitli adresler saldırılarda kullanılabilir. İstediğiniz mail adresinden mail göndermek oldukça basittir.
Temel olarak 6 basamaktan oluşur. Tek korunma yöntemi dikkatli ve bilinçli olmaktır. Çeşitlerini; Aldatıcı Phishing (Deceptive Phising), Kötü Yazılım Phishingi (Malware Phishing), Sahte Website Phishingi (Faulty Website Phishing) ve İçerik Gönderme Phishingi (Content Injection Phishing) olarak sınıflandırabiliriz.
Detaylı bilgi : http:// bilisimpolisi.net/phishing -password-harvesting-fishing/
9. Uygulama Zaafları
Mail hesabınıza girişlerinizde browserınızın beni hatırla seçeneğini aktif edilmemelidir. Böyle bir durumda browserın şifreleri barındırdığı dosyanın çeşitli yollarla saldırganın eline gelmesi ile mail adresiniz hacklenebilir. Firefoxun hatırladığı şifreleri görüntüleyebilirsiniz.
Outlook şifreleriniz Protected Storage PassView gibi yazılımlarla çalınabilir.Outlook gibi yazılımlarda zaman zaman bulunan zaaflar ile mail güvenliğiniz tehlikeye düşebilir. Bu yüzden otomatik güncelleştirmeleri açık tutmak tavsiye edilir.
Webmail uygulamalarında, yazılımlara oranla daha çok zaaf çıkmaktadır. Örnek vermek gerekirse okulumuzun kullandığı webmail uygulaması Squirrelmail 1.4.7 sürümünde ciddi açıklar içermektedir. Bu uygulamanın en kısa zamanda 1.5 sürümüne yükseltilmesi gerekmektedir.Yanında işaret olan zaaflar okulumuzun kullandığı 1.4.7 sürümünü etkileyen zaaflardır.
10. Sosyal Mühendislik
Sosyal mühendislik kişileri kandırarak değerli bilgi ve parolalarını ellerinden almayı amaçlamaktadır. Günümüzde google, bloglar, sosyal ağlar ve daha bir çok yöntem ile hedef kişi hakkında bilgi toplanabilir. Hedef kişinin ilgi alanları, kişisel bilgileri, zaafları vs. keşfedilerek ön hazırlık yapıldıktan sonra saldırıya geçilir.
Örnek vermek gerekirse mail adresinin gizli sorusu En sevdiğim tarihi kişilik olan birisinden bu sorunun cevabını almak için kişiyi tarihi bir forum ortamına çekmek veya arkadaşlık kurarak sorunun cevabını öğrenmek zor olmayacaktır.
Sosyal Mühendislik sanatı kişisel iletişim ve ikna kabiliyeti gerektiren bir iştir. Karşı tarafın şüphesini çekmeden elde edilmek istenilen bilgiyi almak her zaman sanıldığı kadar kolay olmayabilir. Bu yüzden sabır çok önemli bir faktördür. Tüm teknik yöntemler tükendiğinde bazen tek yol sosyal mühendisliktir.
Dünyanın en ünlü hackerı olarak anılan Kevin Mitnick aynı zamanda sosyal mühendisliğin mucidi ve dünyanın en ünlü sosyal mühendisi olarak kabul edilir. Kendisinin Aldatma Sanatı isimli bir kitabı bulunmaktadır.
11. XSRF CSRF XSS
Saldırganın çoğunlukla Java Script kodunu siteye enjekte etmesiyle ortaya çıkar. Saldırganın özel oluşturduğu bir linki kurbana gönderdiğini düşünelim. Kurbanın linke tıklamasıyla Java Script kodu çalışmaya başlar ve kurbanın cookieleri saldırgana gider, cookieler sayesinde hedef kişinin oturumu yetkisizce çalınabiir. Hedef kişinin oturum bilgileri, saldırganın kurduğu snifferda toplanır. XSS saldırılarından korunmanın herhangi bir yolu yoktur. Tek çözüm bilmediğiniz linklere tıklamamanız ve Hexli urllere karşı şüpheli yaklaşmanızdır.
Hexli url örneği :
http://3513587746@3563250882/d%65f.%61%73p%3F%69d=522
Hotmailde bu zaaf 1 ay kadar süreyle mevcuttu ve bir çok mail adresi bu durumdan zarar gördü. Gmail ise bu zaafın ilkini 2 gün diğerini 3 gün içinde fixledi.
12. Clickjacking
Bir browser güvenlik açığıdır. Iframe ; Bir web sayfasına zararlı bir web sayfasının (opacity(şeffaflık) değeri=0) olarak gizlenmesidir. Sayfa içinde sayfa mantığıdır.
Click and Redirect; Normal bir link yerine tıklanış esnasında farklı bir action(yönlendirme) sağlanmış, tuzaklanmış linklerdir. Clickjacking ile basit bir web sayfası hazırlayıp, ufak bir sosyal mühendislik senaryosu ile bir formu submit ettirebilir, dolayısı ile XSRF saldırısı gerçekleştirebilir, HTML Downloader, Keylogger gibi yazılımlar yedirebilirsiniz.
onmouseover=********.********= http:// www.siteadi.net bu koddan anlayacağınız üzere hedef adrese yönlenmek için mauseumuz ile framein üzerinde durmamız yetecek !
Kaynak : Birçok siteden derleme ve kendi bilgilerimi de ekledim.
Geleneksel posta sistemini düşünelim. Mektubunuzu yazarsınız. Zarfın üzerine adres yazıp, mektubu zarfa koyarsınız. Postaneye veya mektup kutusuna gidip mektubu atarsınız. Posta işleme merkezinde mektubunuz gideceği adrese göre ayrılır. Önce ilgili posta dağıtım merkezine gönderilir. Sonra postacı mektubunuzu yazdığınız adrese teslim eder. Mektubunuz, postaneye teslim ettiğiniz andan, alıcıya ulaşana kadar yasaların güvencesi altındadır. Kimsenin zarfı açmaya, kaybetmeye, yanlış adrese teslim etmeye hakkı yoktur. Özellikle "taahütlü" gönderiyi tercih etiyseniz mektubunuz bir kat daha güvencede demektir. Tabi özel ulak veya APS gibi gelişmiş başka seçenekler de vardır. Mektubunuz gideceği yola bağlı olarak en az bir kaç saat içinde alıcıya ulaşabilir.
Gelelim email sistemine. Uygun bir email kullanıcı programı ile mesajınızı yazarsınız. Adres satırına alıcının email adresini yazarsınız ve mesajı gönderirsiniz. Bağlı bulunduğunuz email sistemi mesajınızı alır ve alıcının bağlı bulunduğu email sistemine gönderir. Mesajınız, alıcının email kullanıcı programı hazır olduğunda alıcıya ulaşır. Bütün bu süreç birbirine bağlı elektronik sistemler üzerinde gerçekleşir. Mesajınızın güvenliği, mesajınızın şifrelenmesi ve kullandığınız email sistemlerinin güvenli olmasına bağlıdır. Mesajınız en az bir kaç saniye içinde alıcıya ulaşır.
Genel yapıları açısından geleneksel posta sistemi ile email sistemleri arasında büyük benzerlik vardır. Temel fark ise, geleneksel sistemde mesajınız nesnel bir ortamdadır (kâğıt vb), email mesajı ise elektriksel ve manyetik ortamdadır. Ortam farklılığı dolayısıyla mesajlarınızın güvenliği önemli ölçüde farklılıklar göstermektedir.
E-Mail Güvenliği İçin Yapmanız Gerekenler
1. E-mail adresi alırken doldurduğunuz form içinde eğer şifrenizi unuttuğunuz taktirde size sorulması gereken bir gizli soru seçeneği bulunmaktadır.Bu seçenek sevdiğiniz film, yemek veya hayvan ismi vs.. olabilir.
Sizin bu soruya cevabınız alakasız cevaplar şeklinde olmalıdır.
Örnek:
Gizli soru : sevdiğiniz film Cevabı : yengeçleryanyangider
Gizli soru : sevdiğiniz hayvan Cevabı : portakal
2. Bunların haricinde şifreleme konularında olduğu gibi mail gizli sorularını ve cevaplarını her yerde aynı kullanmamaya özen göstermelisiniz. Örnek olarak herhangi bir website üyeliğinde kullandığınız bir gizli sorusunu ve cevabını önemli bir email adresinizde kullanmayın.
3. Özel işlerde veya yazışmalarda kullanılan email adresleri website üyelikleri, forum veya sohbet servisleri için kullanılan email adreslerinden ayrı olmalıdır. Bu sayede hem spam maillerden hemde özel bilgilerinizin bulunduğu email adresinizin çalınmasını engellemiş olursunuz.
Aşağıda verilen e-mail çalma yöntemleri genel şifre ve bilgi çalma yöntemlerinide kapsamaktadır. Bu yöntemleri öğrenerek e-mail güvenliği hakkında birkaç şey daha öğrenmiş olacaksınız.
1. Fake Mail
Fake Mail gerçek bir mailin veya bilgi formunun içeriği ve görünüşünün sahte bir şekilde hazırlanmasıyla ortaya çıkan bir bilgi çalma yöntemidir. Sahte e-mail içerikleri, site üyelik girişleri, bilgi formları şeklinde hazırlanabilirler. Ayrıca e-mail içine virüslü bir dosya eklenebilir veya önceden hazırlanmış trojanlı bir site linki koyularak bu linkin ziyaret edilmesi sağlanabilir. Bu tür sahte mailleri hazırlayan kişinin iyi düzeyde programlama bilgisi varsa daha değişik şekillerde hazırlanmış fake maillerle karşılaşabilirsiniz.
Özel olarak hazırlanmış Fake Mailler ne gibi teknikler içeriyor inceleyelim
a ) Kullandığınız Email servisinden geliyormuş gibi ( Hotmail, Yahoo, vb. ) ilgilendiğiniz konuyla alakalı bir email gönderilir. İlgilendiğiniz konuya ulaşmanız için bir linke tıklamanız istenebilir bu sırada sahte bir şifre sorgu penceresi açılır ve size kullandığınız mail servisinde bir sorun olduğunu mail şifrenizi tekrar girmeniz gerektiği söylenir. Böylece girilen şifre bilgileri fake maili hazırlayan kişiye ulaşır.
İlgilendiğiniz konulara örnek olarak : Tanınmış sanatçılara ait konser biletleri için çekiliş, Spor Dalı, Bilgisayar, Gezi vb birçok konu ile ilgili mailler gelebilir.
b ) İlgilendiğiniz konu mailini açtığınızda size direkt olarak şifreniz sorulmayabilir. Konu devamında sitemize veya arkadaş grubumuza kayıt yaptırmak için gösterilen formu veya bilgileri doldurunuz gibi bir istekte bulunulabilir.Böyle bir form veya bilgi bölümleri gerçek olmayacağı için bu bilgiler direkt olarak Fake Maili hazırlayan kişiye ulaşacaktır.Mesela doldurulması zorunlu isim, soyad, postakodu, adres bilgileri, gizli soru seçenekleri, şifre gibi bölümleri doldurduk ve gönder diyerek bilgilerimizi gönderdik.Fake Maili hazırlayan kişi bu bilgileri alır ve çalmak istediği mail bilgilerinle almış olduğu bilgileri karşılaştırarak sonuca ulaşmaya çalışır.
c ) İlgilendiğiniz veya herhangi bir konuyla alakalı bir mail gönderildi varsayalım.İçinde bulunan linkleri veya butonları tıklamanız istenebilir.Örnek olarak anlatılan konuya ulaşmak için www.cyber-warrior.orgu tıklamanız gerekiyor.Fakat tıkladığınız link bu site yerine özel olarak hazırlanmış ve içinde virus bulunduran bir siteye gidiyor.Firewall programınız yoksa veya aktif değilse bilgisayarınıza yerleşen trojan veya virus sizin her türlü şifre bilginizin karşı tarafa gitmesini sağlayacaktır.
2. Trojan, Virüs, Backdoor, KeyLogger
Bir malware genellikle temel olarak 2 kısımdan oluşur. Bunlar server ve clienttir. Zararlı dosya hedef kişiye çeşitli yöntemlerle kabul ettirilmeye çalıştırtılmalıdır. Server dosyasını hedef kişi çalıştırdığı andan itibaren client ile hedef üzerinden veri gönderilir/alınır, ekran görüntüsü alınır, klavye vuruşları loglanır vs. Her malware farklı karakteristik özellikler barındırır. Bir keylogger veya trojan sayesinde hedef seçilen bilgisayarda yapılan işlemlerin logları edinilebilir. Keyloggerlar sonucu başka istenmeyen şeylerde yaşanabilir.. Avusturyadan Wenzl Thomas isimli şahsın online bankacılık yapması sonucu :
Saldırgana kalan parayı önce paypal hesabına transfer etmek, daha sonra belirli bir kesinti karşılığı banka kartına transfer etmek olacaktır.
3. Bilgileri Deneme Yanılma Yöntemi
Şifreleriniz tahmin edilebilir (isim-soyisim-futbol takımı, cep telefonu numaranız, doğum tarihiniz vs.) olmamalıdır. Olabildiğince farklı tip karakter barındıran şifreler kullanılmalıdır. Küçük/Büyük harf, rakam, sembol vs. Eğer izin verilmiş ise türkçe karakter (ö, ç, ş, ı, ğ) kullanmanız yabancı saldırıları kısmen engelleyecektir çünkü bir çok yazılım sadece Q klavye karakterlerini tanımakta..
Web uygulamaları saldırıya maruz kalıp, veritabanları ele geçirildiğinde saldırgan bir çok kullanıcı adı/şifre bilgisine ulaşacaktır. Bir çok uygulamanın artık veritabanlarında MD5 şifreleme sistemini kullandığını düşünürsek uzun ve karmaşık şifrelerin önemi bir kez daha anlaşılır. Çünkü 123456 gibi bir şifrenin MD5 ile şifreli hali oldukça çabuk kırılabilirken Sam?Sun_55&/ gibi bir şifrenin MD5ini kırmak yüzlerce yıl sürebilir.
Yukarıda ki şifrenin Md5 ile kriptolanmış hali : acf4f8427d0833728cf6920159cc172d
Bir şifre 2 farklı yerde kullanılmamalıdır.
4. İnternet Cafeler
Internet üzerindeki işlemlerinizi internet cafeleri kullanarak yapıyor olabilirsiniz veya evinizdeki bilgisayar sorunlarından dolayı cafelere gitmeniz gerekebilir. Bu durumda cafede kullandığınız bilgisayara daha önceden virüs veya trojan bulaşmış olabilir. Ayrıca bilgisayarı sizden önce kullanan kişi keylogger programı kurmuşsa tüm şifre bilgilerinizi çalabilir.
5. Bilgisayarınızdaki Açıklar
Bilgisayarınızdaki sistem güvenlik açıkları kullanılarak trojan, virus, backdoor, keylogger programları yerleştirilebilir ve şifre bilgileriniz çalınabilir.
6. Gizlilik Adımındaki Eksiklik
Başkaları tarafından ele geçirilmesini istemediğiniz mail adresinizi asla herhangi bir yere üye olmak için kullanmayınız !
Herhangi bir web sayfasına üye olduğunuz anda o sayfanın arama motorlarının robotları tarafından indexlenmesi sonucunda mail adresiniz bulunabilir olacaktır. Diğer bir ihtimal ise üyelik profilinizden adresinizin okunabilmesidir. Arama motoru kayıtlarına mail adresiniz girdiği anda spam listelerine de girdiniz demektir, brute force ile saldırı yapanlarında tesadüfen saldırı listesine dahil olabilirsiniz.
Üye olduğunuz web uygulamasının veri tabanı hacklendiği zaman büyük bir ihtimalle üyelik için kullandığınız şifre de ele geçirilecektir. Genel olarak kullanıcıların birçok yerde aynı şifreyi kullandığını düşünürsek bu ciddi bir durum.
7. Brute-Force ( Kaba Kuvvet)
Kimi yazılımlar wordlistleri (kelime listeleri), kimi yazılımlar rainbow tablolarını (daha çok kriptolu şifrelerin kırılmasında) kullanarak bu işlemi yapar. Tabi ki başka methodlarda vardır ancak genel olarak özelliği deneme-yanılma yöntemini kullanmasıdır. Kesin hedefi olmayan, rastgele saldıran kişilerce de kullanılabilir. Örn: RMC
RMC nedir kısaca tanımlayalım; RMC belirlenen şifreyi kullanan mail adreslerini, yoğun bir maillistesini kullanarak dener. Bu mail listesi harvester gibi yazılımlarla oluşturulabilir.
Her adrese 1 deneme yaptığından sunucular tarafından saldırı girişiminizin tespit edilmesi zordur. Ayrıca saldırgan kişi proxyde kullanılabilir.
Yazılımı test etmek için mail şifremi 123456 yaptım :
Bir milyon kişilik bir mail listesinde en azından binlerce kişinin mail şifresi 123456dır... Bunun gibi çok kullanılan kelimeleri ve sayıları deneyerek saldırı yapılabilir.
8. Phishing
Sosyal Mühendislik teknikleri kullanılarak, kurbanın Kredi, Debit/ATM Kart Numaraları/CVV2, Şifreler ve Parolalar, Hesap Numaraları, İnternet Bankacılığına Girişte Kullanılan Kullanıcı Kodu ve Şifreleri gibi büyük önem arz eden ve çok iyi korunması gereken bilgilerini, kurbanı aldatarak elde etme yöntemi olarak tanımlanabilir. Başka bir ifadeyle Phishing; kişileri, yasal bir şirket, ajans veya organizasyon olduğuna inandırarak, kişisel ve finansal bilgilerini ele geçirme yöntemidir.
Maili gönderen kişinin adresine aşina olmanız, bu mailin gerçekten o kişi tarafından yollandığı anlamına gelmez ! Gönderen kısmında yazan adres saldırgan tarafından istediği gibi değiştirilebilir. Örneğin [email_address] adresinden gelen bir mail ile hesap numaranız/şifreniz sorulabilir veya [email_address] gibi çeşitli adresler saldırılarda kullanılabilir. İstediğiniz mail adresinden mail göndermek oldukça basittir.
Temel olarak 6 basamaktan oluşur. Tek korunma yöntemi dikkatli ve bilinçli olmaktır. Çeşitlerini; Aldatıcı Phishing (Deceptive Phising), Kötü Yazılım Phishingi (Malware Phishing), Sahte Website Phishingi (Faulty Website Phishing) ve İçerik Gönderme Phishingi (Content Injection Phishing) olarak sınıflandırabiliriz.
Detaylı bilgi : http:// bilisimpolisi.net/phishing -password-harvesting-fishing/
9. Uygulama Zaafları
Mail hesabınıza girişlerinizde browserınızın beni hatırla seçeneğini aktif edilmemelidir. Böyle bir durumda browserın şifreleri barındırdığı dosyanın çeşitli yollarla saldırganın eline gelmesi ile mail adresiniz hacklenebilir. Firefoxun hatırladığı şifreleri görüntüleyebilirsiniz.
Outlook şifreleriniz Protected Storage PassView gibi yazılımlarla çalınabilir.Outlook gibi yazılımlarda zaman zaman bulunan zaaflar ile mail güvenliğiniz tehlikeye düşebilir. Bu yüzden otomatik güncelleştirmeleri açık tutmak tavsiye edilir.
Webmail uygulamalarında, yazılımlara oranla daha çok zaaf çıkmaktadır. Örnek vermek gerekirse okulumuzun kullandığı webmail uygulaması Squirrelmail 1.4.7 sürümünde ciddi açıklar içermektedir. Bu uygulamanın en kısa zamanda 1.5 sürümüne yükseltilmesi gerekmektedir.Yanında işaret olan zaaflar okulumuzun kullandığı 1.4.7 sürümünü etkileyen zaaflardır.
10. Sosyal Mühendislik
Sosyal mühendislik kişileri kandırarak değerli bilgi ve parolalarını ellerinden almayı amaçlamaktadır. Günümüzde google, bloglar, sosyal ağlar ve daha bir çok yöntem ile hedef kişi hakkında bilgi toplanabilir. Hedef kişinin ilgi alanları, kişisel bilgileri, zaafları vs. keşfedilerek ön hazırlık yapıldıktan sonra saldırıya geçilir.
Örnek vermek gerekirse mail adresinin gizli sorusu En sevdiğim tarihi kişilik olan birisinden bu sorunun cevabını almak için kişiyi tarihi bir forum ortamına çekmek veya arkadaşlık kurarak sorunun cevabını öğrenmek zor olmayacaktır.
Sosyal Mühendislik sanatı kişisel iletişim ve ikna kabiliyeti gerektiren bir iştir. Karşı tarafın şüphesini çekmeden elde edilmek istenilen bilgiyi almak her zaman sanıldığı kadar kolay olmayabilir. Bu yüzden sabır çok önemli bir faktördür. Tüm teknik yöntemler tükendiğinde bazen tek yol sosyal mühendisliktir.
Dünyanın en ünlü hackerı olarak anılan Kevin Mitnick aynı zamanda sosyal mühendisliğin mucidi ve dünyanın en ünlü sosyal mühendisi olarak kabul edilir. Kendisinin Aldatma Sanatı isimli bir kitabı bulunmaktadır.
11. XSRF CSRF XSS
Saldırganın çoğunlukla Java Script kodunu siteye enjekte etmesiyle ortaya çıkar. Saldırganın özel oluşturduğu bir linki kurbana gönderdiğini düşünelim. Kurbanın linke tıklamasıyla Java Script kodu çalışmaya başlar ve kurbanın cookieleri saldırgana gider, cookieler sayesinde hedef kişinin oturumu yetkisizce çalınabiir. Hedef kişinin oturum bilgileri, saldırganın kurduğu snifferda toplanır. XSS saldırılarından korunmanın herhangi bir yolu yoktur. Tek çözüm bilmediğiniz linklere tıklamamanız ve Hexli urllere karşı şüpheli yaklaşmanızdır.
Hexli url örneği :
http://3513587746@3563250882/d%65f.%61%73p%3F%69d=522
Hotmailde bu zaaf 1 ay kadar süreyle mevcuttu ve bir çok mail adresi bu durumdan zarar gördü. Gmail ise bu zaafın ilkini 2 gün diğerini 3 gün içinde fixledi.
12. Clickjacking
Bir browser güvenlik açığıdır. Iframe ; Bir web sayfasına zararlı bir web sayfasının (opacity(şeffaflık) değeri=0) olarak gizlenmesidir. Sayfa içinde sayfa mantığıdır.
Click and Redirect; Normal bir link yerine tıklanış esnasında farklı bir action(yönlendirme) sağlanmış, tuzaklanmış linklerdir. Clickjacking ile basit bir web sayfası hazırlayıp, ufak bir sosyal mühendislik senaryosu ile bir formu submit ettirebilir, dolayısı ile XSRF saldırısı gerçekleştirebilir, HTML Downloader, Keylogger gibi yazılımlar yedirebilirsiniz.
onmouseover=********.********= http:// www.siteadi.net bu koddan anlayacağınız üzere hedef adrese yönlenmek için mauseumuz ile framein üzerinde durmamız yetecek !
Kaynak : Birçok siteden derleme ve kendi bilgilerimi de ekledim.
