SELAMLAR BEN KHAN-I GYAK DVAN-İ
ADLİ BİR KONU SEBEBİ İLE BAHSE KONU CELLO ADINDAKİ HASTANEDE BULUNAN VERİLERİM
BENİ HAPİSE SOKACAK (!) GELİN MÜDAHALE EDELİM...
İÇERİKLER
- SALDIRI YÖNTEMİ BELİRLEMEK
- SALDIRI PLANI OLUŞTURMAK
- TESBİT VE SIZILACAK KISIMLARIN KONTROLLERİ
*******************************************************************************************
Konu hikayesi : 21 yaşındayım siber güvenlik faaliyetlerimde klavyemden alınan örnekler CELLO Hastanesine gönderildi ve eğer sonuçlar bana ait çıkar ise tutuklu yargılanacağım şu an denetimli serbestlik ile geziniyorum...
Beni bitirecek olan bu hastane olmamalı...
Basit bir ihmaldi oysaki...
Bir şey yapmalıydım belki de hastaneye yönelik bir saldırı düzenlemeliydim...
Ama nasıl?
SALDIRI YÖNTEMİ BELİRLEMEK
BİLGİ 1 : İşe Hastanenin ne zaman inşa edildiğini araştırmak ile başlayacağım hastane 2000 yılında inşa edilmiş eski bir hastane bunu kırmızı kapaklı defterime not alıyorum.
BİLGİ 2 : Hastane 2000 yılında inşa edildiği için devletin sağladığı fon 2M$ Civarlarında olmalıydı biraz kur ve o zamanın piyasasını inceleyerek bunu ortaya çıkartabiliriz not alıyorum.
BİLGİ 3 : Hastane yakınlarına gidiyorum misafirler için sunulan wifi ağına doktorlardan en az bir tanesi de bağlı olmalıdır diye düşünerek ağ taraması gerçekleştiriyorum sonuçları not alıyorum.
BİLGİ 4 : Hastanenin işletim sistemi güncel değil çünkü tedavi olurken pentium işlemci kullandıklarını gördüm bu da bana windows 7 veya 8 işletim sisteminin kullanıldığını gösteriyor windows 10 kullanamazlar çünkü diyaliz gibi makinaların hasta takip sürücüleri oldukça eski bu da yeni işletim sistemlerinde çalıştırılamaz not alıyorum.
SONUÇ
Windows 7 veya 8 kurulu bilgisayarları olan, eski bir sisteme sahip hastane...
Hastaneye doğrudan giriş yapamam bunun için sosyal mühendisliğin dibine vurmam gerekiyor en savunmasız kişiler stajyer doktorlar.
Hastanenin sosyal medya hesaplarını incelliyorum.
Bulunan sonuçlar arasında instagramda kayıtlı olan Cellofficalhospital adında bir sayfa olduğunu görüyorum kişisel sosyal medya hesaplarım ile oradaki herkese istek atıyorum geri dönüş yapan ve biografisinde hastanede stajyer yazan kişiler ile arkadaşlık kurmak maksadı ile sohbetler kuruyorum.
1 kez denedim olmadı
2 kez denedim olmadı
3 kez denedim olmadı
sonuç başarısızdı hiç kimse sohbetlerime yanaşmadı
Başka bir şey denemeliydim bir insanın en hassas yeri duygularıdır ve bir doktor özellikle stajyer ise duygularını sömürmek çocuk oyuncağı olacaktır.
Hastaneye stajyer servis eden üniversiteye doğrudan gittim kimlere ulaşmam gerektiğini biliyordum çünkü bir günümü hastanenin sosyal medya hesaplarını incelemek ile geçirdim.
İşte Anya adındaki kız karşımda duruyordu masum bakışlar ile yanına gittim
bir şekilde konuşma başlattım bir hafta kadar ona çok değer verdiğimi hissettiren mesajlar yazdım.
Sonuç BaşarıIıydı...
Artık ondan bir rica da bulunma vakti gelmişti.
Hastanenin sistemine uygun trojan virüsü oluşturmuştum buna kurban olan stajyere verdim.
Ona bunu arşiv odasındaki bilgisayara takmasını ve bunun benim için çok önemli olduğunu nedenlerini de sonra anlatacağımı söyledim.
Aslında büyük bir risk almıştım fakat bu riske göre önlem de almıştım. Pishing saldırısı ile kurban stajyerin hesabına sızmıştım bile olası bir şikayet durumunda mesajları temizlemek için hazırdım.
gece nöbetçi olduğu gün bilgisayar başında flash bellek içindeki trojanı dinlemeye aldım sabah karşı bağlantı geldi ve görev başarılıydı.
Kurban ile aramdaki bütün mesajlaşmaları ortadan kaldırdım ve görünmezlik politikasını uygulayarak ortadan kayboldum..
Ben istediğimi aldım ve sonuçları değiştirdim.
Okumasını bilene bu senaryo çok faydalı
Gyak dvan-i sevgiler ile sunar...