Siber Güvenlik Bilinçlendirme dersleri için bilgisayar laboratuvar ortamında gerçekleştirilebilecek örnek olay çalışmaları ve senaryolar bu yazıda sunulacaktır.
Siber güvenlik dersleri, siber ortamdaki saldırı ve savunma yöntemlerinin anlatıldığı ve öğrencilerin bu yöntemleri uygulama ihtiyacının olduğu derslerdir. Siber savunma önlemlerini alabilmek için, öncelikle siber saldırıların etkilerinin gözlemlenmesi ve analiz edilmesi oldukça faydalı olacaktır. Gerçek bir ağ ortamında bu etkilerin analiz edilmesi ve güvenlik önlemlerinin uygulanması mümkün değildir. Siber Güvenlik Bilinçlendirme eğitimlerinde katılımcılara, siber saldırı gerçekleştirebilecekleri ve savunma önlemlerini alabilecekleri bir altyapı sunmak hem eğitsel açıdan faydalı hem de ilgi çekici olacaktır. Bu yazı ile bilgisayar laboratuvar ortamında siber saldırıların gerçekleştirilmesi, saldırıların etkilerinin gözlemlenmesi ve savunma tedbirlerinin uygulanması konularında örnek olay çalışmaları sunmak amaçlanmıştır.
Siber Güvenlik Örnek Olayları
Siber Güvenlik Örnek Olayları ile çeşitli saldırı senaryolarını gerçekleştirerek senaryolar üzerinden tehditlerin nasıl gerçekleştiğinin gösterilmesi ve saldırıların etkilerinin gözlemlenmesini sağlamak hedeflenmektedir.
Fiziksel Güvenlik
Amaç: Bilgisayarlar için fiziksel güvenliğin önemini ve fiziksel saldırıların etkilerini göstermek amaçlanmaktadır.
Açıklama: Fiziksel güvenliğin önemini göstermek amacıyla bilgisayarlara yönelik fiziksel saldırı senaryosu icra edilecektir. Senaryoda kurban bilgisayara fiziksel olarak erişim sağlanarak CD veya USB ile açılış yapılarak bilgisayar içindeki bilgilere erişilebildiği gösterilecektir. Bilgilere erişimden sonra kullanıcı ismi, şifreler, hassas bilge ve belgelerin bilgisayardan alınabildiği gösterilecektir.
Kullanılacak Araçlar: Bilgisayarı ve açılış CDsi.
Ağ Dinleme
Amaç: Ağ tabanlı saldırıların etkisini ve ağ üzerinden açık olarak giden bilgilerin ele geçirilebildiğini göstermek hedeflenmektedir.
Açıklama: ARP Spoof saldırısı gerçekleştirilerek hedef sistem ile sunucu sistemi arasındaki trafiğin saldırgan bilgisayar üzerinden geçmesi sağlanır. Saldırgan üzerinden geçen trafik kaydedilir. Dinlenilen trafik içerisinden kullanıcı adı veya parola gibi kritik bilgilerin elde edilebildiği gösterilir. Bu kapsamda kullanıcıların şifrelenmemiş web ve e-posta trafiği (SMTP, POP3, IMAP, HTTP protokolleri) dinlenerek ve kullanıcı adı veya parola bilgisi elde edilir. Elde edilen bilgiler kullanılarak kullanıcının e-posta hesabına girilerek e-postalarının okunabildiği gösterilir.
Kullanılacak Araçlar: Cain, Wireshark, ARPspoof.
Yama Eksikliğini Kullanma
Amaç: Bilgisayarların işletim sistemi yamalarının uygulanmaması sonucunda var olan açıklıkların etkisini göstermek amaçlanmaktadır.
Açıklama: Yama eksikliği bulunan sunucuya açıklık taraması gerçekleştirilerek sunucu üzerinde MS08_067 açıklığının olduğu tespit edilir. Bu açıklık ****sploit aracı ile uzaktan istismar edilerek sunucu sistemi üzerinde en yetkili kullanıcı hakları ile erişim elde edilir. Sunucu sistemi üzerinde yetkili işlemler gerçekleştirilebildiği gösterilir. Örnek olarak sunucuda yer alan dizinler listelenerek, sunucu üzerindeki dosyalara erişilebildiği veya sunucu üzerinde aktif olarak çalışan kullanıcıların kullanıcı bilgilerinin elde edilebildiği gösterilir.
Kullanılacak Araçlar: Nessus, ****sploit, Ms08_067 açıklığı barındıran sunucu.
Sosyal Mühendislik
Amaç: Son kullanıcılara yönelik sosyal mühendislik saldırılarının etkisini göstermek hedeflenmektedir.
Açıklama: Sosyal mühendislik saldırı yöntemleri kullanılarak bilgi sistemlerini kullanan son kullanıcılara yönelik saldırı senaryosu icra edilecektir. Bu senaryo ile zararlı kod içeren oltalama e-postaları kullanıcıların e-posta adreslerine gönderilecek ve kullanıcıların bu e-postaları açmaları sonucunda sistemlerinin nasıl ele geçirildiği, kullanıcı bilgilerinin nasıl çalınabildiği gösterilecektir.
Kullanılacak Araçlar: Backtrack 5 Linux dağıtımı, E-posta sunucusu, açıklık barındıran son kullanıcı sistemi.
Web İstemcilerine Saldırı
Amaç: Zararlı yazılım veya kod parçacığı içeren web sitelerini ziyaret eden son kullanıcı bilgisayarlarının ele geçirilmesi senaryosu gerçekleştirilecektir.
Açıklama: Son kullanıcı bilgisayarlarını ele geçirmek amacıyla tasarlanan ve içinde zararlı kod içeren birçok web sitesi bulunmaktadır. Bu saldırıların etkisini göstermek amacıyla web istemcileri ile saldırı senaryosu gerçekleştirilecektir. Senaryoda normal gözüken bir web sitesinin içine zararlı javascript kodları eklenecek, ardından kurban bilgisayardan web sitesinin ziyaret edilmesi sağlanacaktır. Kurbanın siteyi ziyaret etmesi ardından zararlı javascript kodu sayesinde kurban bilgisayar üzerindeki web tarayıcı ele geçirilecek ve kurbanın ziyaret etmiş olduğu diğer web sitelerinin erişim bilgilerinin sağlanabildiği, kurban bilgisayar üzerindeki hassas verilere erişilebildiği gösterilecektir.
Kullanılacak Araçlar: BeeF, BeeF sunucu yazılımı çalışan bilgisayar.
Web Sunucularına Saldırı
Amaç: Web uygulamalarında bulunan açıklıklar kullanılarak yapılacak saldırıların etkisini göstermek amaçlanmaktadır.
Açıklama: Son zamanlardaki birçok saldırı web uygulamalarındaki açıklıklardan faydalanmaktadır. Bu saldırıların etkisini göstermek için web uygulama saldırı gösterimi gerçekleştirilecektir. Bu gösterimde yaygın olan web uygulama açıklıları (SQL injection, XSS, LFI/RFI, Directory traversal v.b.) içeren örnek bir uygulamaya karşı saldırı yapılacaktır. Saldırı sonucunda, web açıklıkları kullanılarak web sunucu işletim sisteminde en yüksek haklar elde edilecek ve sunucu üzerindeki değerli veriler (veritabanı bilgileri, dosyalar, kullanıcı ismi ve parolaları) ele geçirilecektir.
Kullanılacak Araçlar: Acunetix, Netsparker, Burp suite, açıklık bulunan web uygulaması barındıran web sunucu.
Dağıtık Servis Dışı Bırakma (DDoS) Saldırısı
Amaç: Dağıtık servis dışı bırakma (DDoS) saldırılarının etkisini göstermek hedeflenmektedir.
Açıklama: Laboratuvar ortamında Web sunucusu, E-posta sunucusu gibi sunulara karşı servis dışı bırakma (DoS) ve dağıtık servis dışı bırakma (DDoS) saldırı gösterimi yapılarak bu servislerin açık kaynaklı saldırı araçları ile nasıl kısa sürede devre dışı bırakılacağı gösterilecektir. Saldırı senaryosunda SYN flood, http GET flood, ICMP flood gibi farklı protokollere yönelik saldırılar gösterilecektir.
Kullanılacak Araçlar: Backtrack, Hping, Juno, Jmeter.
Çevrimiçi Kaba Kuvvet Saldırısı
Amaç: İnternet tabanlı servisler için zayıf kullanıcı parolalarının çevrimiçi saldırılar ile kısa sürede kırılabildiğini göstermek amaçlanmaktadır.
Açıklama: Nmap aracı ile POP3 servisi çalıştıran sunucu tespit edilir. Sunucu üzerindeki POP3 servisine Hydra aracı ile daha önceden belirlenmiş olan e-posta kullanıcı adı ve içerisinde parolalar barındıran sözlük kullanılarak çevrimiçi kaba kuvvet saldırısı gerçekleştirilir. Elde edilen parola ile e-posta hesabına girilerek hesaba ait e-postaların okunabildiği gösterilir.
Kullanılacak Araçlar: Hydra, Nmap.
Çevrimdışı Kaba Kuvvet Saldırısı
Amaç: Masaüstü işletim sistemi ve uygulamaları için verilen zayıf kullanıcı parolalarının çevrimdışı saldırılar ile kısa sürede kırılabildiğini göstermek hedeflenmektedir.
Açıklama: Senaryoda zayıf kullanıcı parolalarının kısa sürede kırılabildiği gösterilecektir. Bu amaçla fiziksel güvenlik senaryosunda elde edilen kullanıcı ismi ve parola özetlerinin LM formatındaki parola özet bilgileri Ophcrack veya Cain araçları ile gök kuşağı (rainbow) tabloları kullanılarak kısa sürede kırılabildiği gösterilecektir.
Kullanılacak Araçlar: Cain, Ophcrack, Gök Kuşağı (Rainbow) tabloları.
Kablosuz Ağ Parolasının Kırılması
Amaç: Şifreli kablosuz ağ servislerine erişim sağlanabildiği ve şifreli verilerin çözülebildiğini göstermek amaçlanmaktadır.
Açıklama: WEP kullanılarak gerçekleştirilen bir kablosuz ağ bağlantısında WEP parolasının kırılması senaryosu gerçekleştirilecektir. Kırılan WEP parolası kullanılarak kablosuz ağa bağlanılır. Diğer kullanıcıların şifreli kablosuz ağ trafikleri kaydedilir. WEP parolası kullanılarak bu trafiğin açık metin olarak görüntülenebildiği gösterilir.
Kullanılacak Araçlar: Kablosuz erişim noktası, Kablosuz erişim adaptör, Aircrack araçları.
Sonuç
Siber Güvenlik Bilinçlendirme dersleri için önerdiğimiz örnek olay çalışmaları, katılımcıların güvenlik konusunda farklı saldırı ve savunma yöntemlerini test edebilecekleri senaryolar sunmaktadır. Gerçek ortamda gerçekleştirilemeyen ve gözlemlenemeyen siber saldırıları bilgisayar laboratuvar ortamında önerilen örnek olaylar ile gerçekleştirerek katılımcıların siber güvenlik konusunda yetkinliklerinin ve farkındalıklarının arttırılması sağlanabilir.
Siber güvenlik dersleri, siber ortamdaki saldırı ve savunma yöntemlerinin anlatıldığı ve öğrencilerin bu yöntemleri uygulama ihtiyacının olduğu derslerdir. Siber savunma önlemlerini alabilmek için, öncelikle siber saldırıların etkilerinin gözlemlenmesi ve analiz edilmesi oldukça faydalı olacaktır. Gerçek bir ağ ortamında bu etkilerin analiz edilmesi ve güvenlik önlemlerinin uygulanması mümkün değildir. Siber Güvenlik Bilinçlendirme eğitimlerinde katılımcılara, siber saldırı gerçekleştirebilecekleri ve savunma önlemlerini alabilecekleri bir altyapı sunmak hem eğitsel açıdan faydalı hem de ilgi çekici olacaktır. Bu yazı ile bilgisayar laboratuvar ortamında siber saldırıların gerçekleştirilmesi, saldırıların etkilerinin gözlemlenmesi ve savunma tedbirlerinin uygulanması konularında örnek olay çalışmaları sunmak amaçlanmıştır.
Siber Güvenlik Örnek Olayları
Siber Güvenlik Örnek Olayları ile çeşitli saldırı senaryolarını gerçekleştirerek senaryolar üzerinden tehditlerin nasıl gerçekleştiğinin gösterilmesi ve saldırıların etkilerinin gözlemlenmesini sağlamak hedeflenmektedir.
Fiziksel Güvenlik
Amaç: Bilgisayarlar için fiziksel güvenliğin önemini ve fiziksel saldırıların etkilerini göstermek amaçlanmaktadır.
Açıklama: Fiziksel güvenliğin önemini göstermek amacıyla bilgisayarlara yönelik fiziksel saldırı senaryosu icra edilecektir. Senaryoda kurban bilgisayara fiziksel olarak erişim sağlanarak CD veya USB ile açılış yapılarak bilgisayar içindeki bilgilere erişilebildiği gösterilecektir. Bilgilere erişimden sonra kullanıcı ismi, şifreler, hassas bilge ve belgelerin bilgisayardan alınabildiği gösterilecektir.
Kullanılacak Araçlar: Bilgisayarı ve açılış CDsi.
Ağ Dinleme
Amaç: Ağ tabanlı saldırıların etkisini ve ağ üzerinden açık olarak giden bilgilerin ele geçirilebildiğini göstermek hedeflenmektedir.
Açıklama: ARP Spoof saldırısı gerçekleştirilerek hedef sistem ile sunucu sistemi arasındaki trafiğin saldırgan bilgisayar üzerinden geçmesi sağlanır. Saldırgan üzerinden geçen trafik kaydedilir. Dinlenilen trafik içerisinden kullanıcı adı veya parola gibi kritik bilgilerin elde edilebildiği gösterilir. Bu kapsamda kullanıcıların şifrelenmemiş web ve e-posta trafiği (SMTP, POP3, IMAP, HTTP protokolleri) dinlenerek ve kullanıcı adı veya parola bilgisi elde edilir. Elde edilen bilgiler kullanılarak kullanıcının e-posta hesabına girilerek e-postalarının okunabildiği gösterilir.
Kullanılacak Araçlar: Cain, Wireshark, ARPspoof.
Yama Eksikliğini Kullanma
Amaç: Bilgisayarların işletim sistemi yamalarının uygulanmaması sonucunda var olan açıklıkların etkisini göstermek amaçlanmaktadır.
Açıklama: Yama eksikliği bulunan sunucuya açıklık taraması gerçekleştirilerek sunucu üzerinde MS08_067 açıklığının olduğu tespit edilir. Bu açıklık ****sploit aracı ile uzaktan istismar edilerek sunucu sistemi üzerinde en yetkili kullanıcı hakları ile erişim elde edilir. Sunucu sistemi üzerinde yetkili işlemler gerçekleştirilebildiği gösterilir. Örnek olarak sunucuda yer alan dizinler listelenerek, sunucu üzerindeki dosyalara erişilebildiği veya sunucu üzerinde aktif olarak çalışan kullanıcıların kullanıcı bilgilerinin elde edilebildiği gösterilir.
Kullanılacak Araçlar: Nessus, ****sploit, Ms08_067 açıklığı barındıran sunucu.
Sosyal Mühendislik
Amaç: Son kullanıcılara yönelik sosyal mühendislik saldırılarının etkisini göstermek hedeflenmektedir.
Açıklama: Sosyal mühendislik saldırı yöntemleri kullanılarak bilgi sistemlerini kullanan son kullanıcılara yönelik saldırı senaryosu icra edilecektir. Bu senaryo ile zararlı kod içeren oltalama e-postaları kullanıcıların e-posta adreslerine gönderilecek ve kullanıcıların bu e-postaları açmaları sonucunda sistemlerinin nasıl ele geçirildiği, kullanıcı bilgilerinin nasıl çalınabildiği gösterilecektir.
Kullanılacak Araçlar: Backtrack 5 Linux dağıtımı, E-posta sunucusu, açıklık barındıran son kullanıcı sistemi.
Web İstemcilerine Saldırı
Amaç: Zararlı yazılım veya kod parçacığı içeren web sitelerini ziyaret eden son kullanıcı bilgisayarlarının ele geçirilmesi senaryosu gerçekleştirilecektir.
Açıklama: Son kullanıcı bilgisayarlarını ele geçirmek amacıyla tasarlanan ve içinde zararlı kod içeren birçok web sitesi bulunmaktadır. Bu saldırıların etkisini göstermek amacıyla web istemcileri ile saldırı senaryosu gerçekleştirilecektir. Senaryoda normal gözüken bir web sitesinin içine zararlı javascript kodları eklenecek, ardından kurban bilgisayardan web sitesinin ziyaret edilmesi sağlanacaktır. Kurbanın siteyi ziyaret etmesi ardından zararlı javascript kodu sayesinde kurban bilgisayar üzerindeki web tarayıcı ele geçirilecek ve kurbanın ziyaret etmiş olduğu diğer web sitelerinin erişim bilgilerinin sağlanabildiği, kurban bilgisayar üzerindeki hassas verilere erişilebildiği gösterilecektir.
Kullanılacak Araçlar: BeeF, BeeF sunucu yazılımı çalışan bilgisayar.
Web Sunucularına Saldırı
Amaç: Web uygulamalarında bulunan açıklıklar kullanılarak yapılacak saldırıların etkisini göstermek amaçlanmaktadır.
Açıklama: Son zamanlardaki birçok saldırı web uygulamalarındaki açıklıklardan faydalanmaktadır. Bu saldırıların etkisini göstermek için web uygulama saldırı gösterimi gerçekleştirilecektir. Bu gösterimde yaygın olan web uygulama açıklıları (SQL injection, XSS, LFI/RFI, Directory traversal v.b.) içeren örnek bir uygulamaya karşı saldırı yapılacaktır. Saldırı sonucunda, web açıklıkları kullanılarak web sunucu işletim sisteminde en yüksek haklar elde edilecek ve sunucu üzerindeki değerli veriler (veritabanı bilgileri, dosyalar, kullanıcı ismi ve parolaları) ele geçirilecektir.
Kullanılacak Araçlar: Acunetix, Netsparker, Burp suite, açıklık bulunan web uygulaması barındıran web sunucu.
Dağıtık Servis Dışı Bırakma (DDoS) Saldırısı
Amaç: Dağıtık servis dışı bırakma (DDoS) saldırılarının etkisini göstermek hedeflenmektedir.
Açıklama: Laboratuvar ortamında Web sunucusu, E-posta sunucusu gibi sunulara karşı servis dışı bırakma (DoS) ve dağıtık servis dışı bırakma (DDoS) saldırı gösterimi yapılarak bu servislerin açık kaynaklı saldırı araçları ile nasıl kısa sürede devre dışı bırakılacağı gösterilecektir. Saldırı senaryosunda SYN flood, http GET flood, ICMP flood gibi farklı protokollere yönelik saldırılar gösterilecektir.
Kullanılacak Araçlar: Backtrack, Hping, Juno, Jmeter.
Çevrimiçi Kaba Kuvvet Saldırısı
Amaç: İnternet tabanlı servisler için zayıf kullanıcı parolalarının çevrimiçi saldırılar ile kısa sürede kırılabildiğini göstermek amaçlanmaktadır.
Açıklama: Nmap aracı ile POP3 servisi çalıştıran sunucu tespit edilir. Sunucu üzerindeki POP3 servisine Hydra aracı ile daha önceden belirlenmiş olan e-posta kullanıcı adı ve içerisinde parolalar barındıran sözlük kullanılarak çevrimiçi kaba kuvvet saldırısı gerçekleştirilir. Elde edilen parola ile e-posta hesabına girilerek hesaba ait e-postaların okunabildiği gösterilir.
Kullanılacak Araçlar: Hydra, Nmap.
Çevrimdışı Kaba Kuvvet Saldırısı
Amaç: Masaüstü işletim sistemi ve uygulamaları için verilen zayıf kullanıcı parolalarının çevrimdışı saldırılar ile kısa sürede kırılabildiğini göstermek hedeflenmektedir.
Açıklama: Senaryoda zayıf kullanıcı parolalarının kısa sürede kırılabildiği gösterilecektir. Bu amaçla fiziksel güvenlik senaryosunda elde edilen kullanıcı ismi ve parola özetlerinin LM formatındaki parola özet bilgileri Ophcrack veya Cain araçları ile gök kuşağı (rainbow) tabloları kullanılarak kısa sürede kırılabildiği gösterilecektir.
Kullanılacak Araçlar: Cain, Ophcrack, Gök Kuşağı (Rainbow) tabloları.
Kablosuz Ağ Parolasının Kırılması
Amaç: Şifreli kablosuz ağ servislerine erişim sağlanabildiği ve şifreli verilerin çözülebildiğini göstermek amaçlanmaktadır.
Açıklama: WEP kullanılarak gerçekleştirilen bir kablosuz ağ bağlantısında WEP parolasının kırılması senaryosu gerçekleştirilecektir. Kırılan WEP parolası kullanılarak kablosuz ağa bağlanılır. Diğer kullanıcıların şifreli kablosuz ağ trafikleri kaydedilir. WEP parolası kullanılarak bu trafiğin açık metin olarak görüntülenebildiği gösterilir.
Kullanılacak Araçlar: Kablosuz erişim noktası, Kablosuz erişim adaptör, Aircrack araçları.
Sonuç
Siber Güvenlik Bilinçlendirme dersleri için önerdiğimiz örnek olay çalışmaları, katılımcıların güvenlik konusunda farklı saldırı ve savunma yöntemlerini test edebilecekleri senaryolar sunmaktadır. Gerçek ortamda gerçekleştirilemeyen ve gözlemlenemeyen siber saldırıları bilgisayar laboratuvar ortamında önerilen örnek olaylar ile gerçekleştirerek katılımcıların siber güvenlik konusunda yetkinliklerinin ve farkındalıklarının arttırılması sağlanabilir.
