- 14 Eki 2019
- 982
- 88
Merhaba Değerli TurkHackTeam Ailesi
Bu Konuda;
Siber Saldırı Nedir
Fiziksel Saldırı Nedir?
Siber ve Fiziksel Saldırı Yöntemleri Nelerdir ?
Siber Saldırılar İçin Alınabilecek Güvenlik Önlemleri Nelerdir
Alt Başlıkları İle Birlikte Siber ve Fiziksel Saldırılardan Nasıl Korunabileceğimiz
Hakkında Konuşacağız
Sözü Çok Uzatmadan İlk Alt Başlığımız İle Konumuza Başlayalım
Siber Saldırı Nedir
Siber Saldırıyı Tabiri Caizse Sanal Bir Ortamda Herhangi Bir Amaç Uğruna Yapılan Saldırılar Olarak Tanımlayabiliriz
Bu Saldırılarda Amaç; Genellikle Karşı Taraftan, Saldırıya Harcanan Efordan Daha Değerli Bir Şey Elde Etmektir
Bu Efor ve Elde Edilecek Ganimet Değerini Saldırıyı Gerçekleştiren Kişi Belirler.
Daha İyi Anlaşılabilmesi İçin Örneklendirmek İsterim.
Siber Saldırı Yada Hack Konusunda Bilgili Olduğunuzu Varsayalım.
Yolda Yürüyorsunuz. Bir Kişinin Tipini Beğenmediniz. Bu Kişiye Karşı Bir Siber Saldırıda Bulunur musunuz ?
Bir Sonraki Siber ve Fiziksel Saldırı Yöntemleri Nelerdir Alt Başlığında da Değineceğimiz Gibi
Bu Saldırılar Çok Fazla Efor Gerektirebilecek Süreçlere Sahip Olabilir.
Şimdi Örneğimizi Değiştirelim
Burada da Siber Saldırı yada Hack Konusunda Bilgili Olduğumuzu Varsayalım
Maddi Durumunuz Çok Kötü Durumda. Size Bir Kişi Geliyor ve Güzel Bir Para Karşılığında
Bir Hedef Kişiye Karşı Siber Saldırıda Bulunmanızı Talep Ediyor
Bu Hedefe Karşı Siber Saldırıda Bulunur muydunuz?
Bu Soruların Cevabını Ben Veremem. Çoğunluk Bir Cevapta Odaklanabilir Olsa da Herkes İçin Aynı Cevap Yoktur
Bu Saldırıyı Gerçekleştirecek Olan Siz İçin Efor ve Ganimet Değerinize Göre Değişebilir
Yolda Yürüyen Kişi Farklı Bir Etnik Kimliğe Sahipse ve Siz O Etnik Kimliğe Çok Fazla Nefret Duyuyorsanız
Sizin 3 Aylık Maaşınızı Verdiğimde Yapmayacağınız Saldırıyı Bu Kişi Etrafında da Yapabilme İhtimaliniz Olabilir
Bu Nedenle Efor ve Ganimet Değeri Arasında Bir İlişki Vardır.
Bu İlişki Her Ne Kadar Terimsel ve Gereksiz Olarak Görülse de
Bir Siber Saldırının, Hatta Bir Saldırının Temelini Oluşturur.
Toparlamak Gerekirse, Hedefe Karşı Bir Amaç Uğruna Gerçekleştirilen Sanal Ortamdaki Saldırılara Siber Saldırı Denir
Fiziksel Saldırı Nedir
Fiziksel Saldırının Ne Olduğu Konusu Üzerinde Pek Durmayacağım
Çünkü Bir Üst Alt Başlıkta Zaten Siber Saldırının Ne Olduğu Konusunda da Benzer Süreçlerden Bahsetmiş Olduk
Ancak Yine de Değinmek Gerekirse;
Bir Amaç İle Karşı Hedef veya Kişiye Karşı Fiziksel Ortamda Yapılan Saldırılar Olarak Tanımlayabiliriz
Üst Başlıkta da Bahsettiğimiz Gibi Fiziksel Saldırıda da Efor İle Ganimet Arasında Bir İlişki Söz Konusu Olur
En Son Neden Kavga Etiğinizi yada Şahit Olduğunuz Kavganın Sebebini Hatırlarsanız Ne Demek İstediğimi Anlayabilirsiniz
Cinayet Romanlarında veya Filmlerinde Popüler Bir Söz Vardır ya;
Her Katilin Kurban İle Bir İlişkisi Vardır. İşte Cinayetlerde de Sebepler Çok Farklı Olabilir
Bir Kişi Size Küfür Ettiğinde, Uğraşmak İstemeyip Arkanızı Dönebilirsiniz.
Bir Başka Kişi İse O An Saldırıda Bulunabilir. Daha Psikopat Diye Tabir Edebileceğimiz Kişiliğe Sahip Bir
Kişi İse Aylarca Hatta Yıllarca İntikam Planı Kurabilir. Burada da Efor ve Ganimet Arasında Saldırıda Bulunan Kişiye
Göre Değişiklik Gösterir
Kısaca Fiziksel Saldırı da, Ganimet Değerinin Efor Değerine Göre Pozitife Kaydığı Durumlarda Gerçekleştirilen
Fiziksel Ortamdaki Saldırıdır Tanımını Yapabiliriz
Siber ve Fiziksel Saldırı Yöntemleri Nelerdir
Şimdi Asıl Anlatmak İstediğim Konuya Bu Alt Başlık İle Girmiş Oluyoruz
Üst Başlıklarda Fiziksel Saldırı ve Sanal Saldırının Ne Olduğundan Bahsettik.
Şimdi İse Bu Saldırıların Nasıl Yapıldığını, Konu Başlığımız Olan Siber ve Fiziksel Saldırılardan Nasıl Korunabileceğimizi
Öğrenebilmemiz İçin Öncelikli Olarak Anlamamız Gerekir. Çünkü En İyi Savunmayı, Düşmanının Taktiklerini yani Bir Sonraki
Hamleyi Tahmin Ederek Yapabiliriz
Kendimizi Bu Saldırılardan Korumamız Gerekiyorsa, Öncelikli Olarak Saldırının Nasıl Gerçekleşebileceğini Öngörüp
Bu Saldırılara Karşı Önlemlerimizi Almamız Gerekir
Ancak Konumuza Değinmeden Önce Ufak Bir Not Düşmek İsterim.
Not
Bu Noktadan Sonra Fiziksel Saldırılardan Bahsederken, Siber Saldırı Amacı İle Kullanılan Fiziksel Saldırılardan Bahsedilecektir
Sizlere Siber Saldırı Yöntemleri Nelerdir Diye Sorduğumda Büyük İhtimalle
Sosyal Mühendislik
Bruteforce Attack
Xss,Sql Gibi Açıklar Kullanmak vb. Birçok Yöntemden Bahsedebilirsiniz
Ancak Bu Bahsettiğim Yöntemler Belli Bir Noktaya Sıkışmış Yöntemler
Eğer Siber Saldırı Yöntemleri Dediğimizde Bunlar Aklınıza Geliyorsa Tek Bir Ufuğa Bakıyor Olacaksınız
En Azından Benim Bu Konudaki Fikrim Bu
Bu Nedenle Bu Bahsettiğimiz Yöntemleri Daha Ana Başlıkta İncelemenin Doğru Olduğunu Söyleyebiliriz
Örneğin; İstanbul'dan Bursa'ya Hangi Yöntemlerle Gidebiliriz Sorusuna?
Taksi-Otobüs-Uçak-Özel Araç-Gemi veya Vapur Gibi Cevaplar Verirseniz, Denizaltı İle Gidebilme vb. Birçok Diğer Opsiyonu Atlamış Olursunuz
Ancak Bu Soruya Cevap Ararken Hava-Kara ve Deniz Yolu İle Gidebiliriz Cevabını Verdiğinizde, Ulaşım Yöntemlerini Daha İyi Kavrıyabilirsiniz.
Şimdi Konumuza Dönecek Olursak;
Siber Saldırı Yöntemlerinde;
- Tamamen Sanal Ortamda Saldırı
-
- Tamamen Fiziksel Ortamda Saldırı
-
Hem Fiziksel Hem de Sanal Ortamda Saldırı
Yöntemleri Olduğunu Söyleyebilir ve Bu Başlıkları Alt Başlıklara Bölebiliriz
Böylelikle Bu Saldırı Yöntemlerini Daha İyi Kavrayabilmiş Olacağız.
Yöntemleri Olduğunu Söyleyebilir ve Bu Başlıkları Alt Başlıklara Bölebiliriz
Böylelikle Bu Saldırı Yöntemlerini Daha İyi Kavrayabilmiş Olacağız.
Tamamen Sanal Ortamda Saldırı
Tamamen Sanal Ortamda Saldırıları Birkaç Şekilde Yapabiliriz
Hedefin Kendisine Saldırmak
Hedefin Bulunduğu ve Hedefi Barındıran Sistemi Manipüle Ederek Hedefimize Ulaşmak
Hedefin Bulunduğu ve Hedefi İçinde Barındıran Sisteme Saldırmak
Bu Maddeleri Tek Tek Açıklamak Yerine, Örnek Bir Senaryo Üzerinden Aşamaları Anlamaya Çalışalım
Senaryo:
Hedefimiz: Sort İsimli Bir Facebook Kullanıcısı Olsun.
İlk Olarak Hedefimize Direkt Olarak Saldırdık Diyelim.
Bunu İki Şekilde Yapabiliriz
BruteForce Gibi Şifre Denemesi Yaparak
Sosyal Mühendislik Yöntemleri İle
Burada Amacımız Sort İsimli Kullanıcının Hesabını, Sort Hesabını Hedef Alarak Ele Geçirmek Olur
BruteForce Saldırısı İle Çeşitli Şifreleri Deneme Yanılma İle Bulmaya Çalışırız
BruteForce da Saldırının Başarısı, Kullandığımız Uygulamalar ve Cihaz Kadar, Elimizdeki Şifrelere Bağlıdır
Kişi 4 Haneli Sadece Sayıdan Oluşan Bir Şifre Girmişse, Bunu Bulmak İçin 9999 Şifre Denemesi Yapmamız Gerekir
Ancak Kişi Küçük Harf ve Sayıdan Oluşan 4 Haneli Bir Şifre Girmişse 29 Harf+10 Rakamdan
39 Veriyi 4 Farklı Şekilde Kombine Etmemiz Gerekir. Burada da 39x39x39x39=2.313.441 Adet Şifre Denememiz Gerekir
Hedefimiz Büyük-Küçük-Sembol ve Sayı Kullanmışsa 255 Karakter Kullanabildiği İçin
255x255x255x255=4228250625 İhtimalimiz Olmuş Olur.
Burada BruteForce İle Hedefe Saldırmak Pek Akıllıca Olmayan ve Güncelliğini Yitirmiş Yöntemlerden Biridir
Bir Sebebi de, Hedefe Bulunduğu ve Ait Olduğu Sistemi Kandırmaya Çalışarak Girmeye Çalıştığımızdan Dolayıdır.
Burada Sistemi, Hedefin Kendisi Olduğumuza İkna Etmeye Çalışırız.
Ancak Sistem de, Aldığı Kararlar Gereği, Kişi Kendini 15-20 Defa Hatalı Tanıtırsa, Sistem Bu Kişinin Güvenli Olmadığı Kanaatine Varmasına Göre Dizayn Eilmiştir.
Bu Nedenle 15-20 Yanlış Şifreden Sonra Sistem Sizi Belli Süreliğine Sisteme Girişinizi Engelleyerek, İp Ban Gibi Yöntemlere Başvurur.
Eğer Sistemi, Hedefin Kendisi Olduğuna İkna Etmemiz Gerekiyorsa, Bunu Sistemi Şüphelendirmeden Yapmamız Gerekir
Bu Durumda Sosyal Mühendislik Yöntemlerine Başvurmamız Gerekir.
Bu Yöntem İle, Hedefin Kimliğini, Hedefi Manipüle Ederek Alıp, Sisteme Şüpheye Yer Kalmayacak Şekilde Bildirmemiz Gerekir.
Hedeften Bu Kimliği Almamızın Çeşitli Yöntemleri Vardır. Hedeften Direkt Kimliğini de İsteyebiliriz
veya Hedefin Kimliğine Sahip Diğer Kişilerden Bu Kimliği İsteyebiliriz.
Burada Kimliği Nasıl İsteyeceğimiz Tamamen Hedefin Zekası ile Sizin Zekanıza Bağlıdır.
Eğer Hedeften Daha Zeki İseniz, Hedefin Kimliğini Elde Edebilirsiniz.
Facebook Hesabının Şifresini Sort İsimli Kişiden, Direkt Şifreni Verebilir misin ? Sorusu İle de Alabilirsiniz
Sort İsimli Hedefin Hesabının Şifresini, Sort İsimli Kişinin Yakınından da Alabilirsiniz
Bu Tamamen Sizin Yöntemlerinize ve Sort İsimli Kişinin Ne Kadar Zeki Olduğuna Göre Başarı Oranına Sahiptir.
Hedefin Kendisine Saldırmak veya Hedefin Bulunduğu Sistemi Manipüle Ederek Hedefin Hesabını Çalmak Yerine
Direkt Olarak Hedefin Bulunduğu Sisteme Saldırıda Bulunabilir ve Hedefin Verisini Sistemden Alabiliriz
Sort İsimli Facebook Kullanıcısının Şifresini Bulamadığımız Durumda, Facebook Sisteminin Veri Tabanını Ele Geçirebiliriz.
Burada da Facebook Sistemi Üzerinde SQL gibi Açıklar Arayabilir ve Veritabanına Erişmeyi Hedefleyebiliriz
Yada Facebook Sistemi Üzerinde Veritabanı Üzerinde Yetkili Bir Hedefe Saldırarak,
O Hedefin Aracılığı İle Sisteme Ait Verilere Ulaşıp Sort İsimli Kullanıcının Facebook Şifresini Elde Edebiliriz.
Tamamen Fiziksel Olarak Saldırıda Bulunmak
Hedefimiz Yine Sort İsimli Bir Facebook Kullanıcısı Olsun.
Bu Hedefe Sanal Olarak Saldırıda Bulunamadığımızı Varsayalım.
Bu Durumda Hedefe Fiziksel Ortamda da Saldırılarda Bulunabilir ve Hesabı Ele Geçirmeye Çalışabiliriz
Örneğin:
Hedefin Karşısına Çıkıp Direkt Tehdit Ederek Şifresini de Talep Edebilirsiniz(Tavsiye Değildir
)veya Hedefi Takip Ederek, Şifreye Ait İpuçları Toplayabilirsiniz
Ek Olarak Sosyal Mühendislik Yöntemlerini Fiziksel Ortamda da Deneyebilirsiniz
Hedef İle Rastgele Bir Tanışma Planlayabilir, Arkadaşlık Kurup Şifreyi Güvenli Bir Şekilde
Talep Edebilirsiniz. Burada da Tamamen Hedef İle Sizin Zekanız Arasında Siber Ortamda Sosyal Mühendislik Gibi
Bir İlişki Bulunur.
Ayrıca Hedefin Verilerinin Bulunduğu Sistemlere de Saldırıda Bulunabilir veya Sistemi Manipüle Edebilirsiniz.
Örneğin;
Çok Çok Başarılı Bir Veri Analisti Olup Facebook Sisteminde Veritabanına Erişebilecek Bir Çalışan Olabilir yada
Veritabanına Erişimi Bulunan Bir Kişiye Fiziksel Ortamda Sosyal Mühendislik Uygulayabilirsiniz
Bu Yöntemler Tamamen Hayal Gücünüz ve Efor Değerinize Bağlıdır.
Siber Saldırılar İçin Alınabilecek Önlemler Nelerdir
Yukarıdaki Başlıklarda Sizlere Saldırıların Temel Olarak Hangi Mantıklarla
Hangi Yöntemlerle Yapılabileceğinden Bahsettim. Eğer Saldırı Yöntemlerini İyi Analiz Edersek
Bu Saldırılardan Nasıl Korunabileceğimiz Hakkında da Yeterli Bir Fikre Sahip Olmuş Oluruz
Sanal Ortamda BruteForce Saldırısının Nasıl ve Ne Mantıkla Gerçekleştiğinden Bahsetmiştik.
Eğer BruteForce Saldırısından Etkilenmek İstemiyorsak, Büyük-Küçük ve Özel Karakter Kullanmalıyız.
Ek Olarak Tahmin Edilebilen Şifrelerden Uzak Durmalıyız.
Sosyal Mühendislik Saldırılarında İse Hedefin Basit yada Çok İyi Hazırlanmış Planlarına Düşmemeli
Bir Çok Şeye Şüphe İle Yaklaşmalıyız.
Sistemin Manipüle Edilebilir yada Sistemin Kendisinin Saldırıya Uğrayabilme İhtimaline Karşı,
Bir Sistemde Kullandığınız Şifre ve Verileri Başka Bir Sistemde Kullanmamaya Özen Gösterebiliriz
Böylelikle Bir Sistem Verilerimizi Koruyamadığında, Bu Sistemden Elde Edilen Veriler İle
Başka Sistemdeki Verilerimizin Ele Geçirilmesinin Önüne Geçebiliriz.
Fiziksel Saldırı ve Sosyal Mühendislik Yöntemlerine Karşı İse,
Herkese Güvenmemek ve Özel Verilerimizi Daha İyi Sır Olarak Saklayabilmeyi Öğrenebiliriz
Verilerimizin Tutulduğu Cihazları Daha Güvenli Noktalarda Bulundurmamız Gerekir
Bilgisayarımız ve Telefonumuz Bir İstemci Olmak Dışında Sunucu Görevi de Görmekte.
Bu Nedenle İçerdeki Veritabanımızı Tıpkı Diğer Sistemlerin Sunucularını Koruduğu Gibi Koruyabiliriz.
Cihazlarımızı Şifre İle Korumalı,Dış Ortamda Güvenlik Kamerasının Bulunduğu Noktalarda Kullanmalı
Herkese Açık Wifilere Bağlanmaktan Çekinmeliyiz.
Kısaca Bu Konumuzda Bir Siber Saldırının Genel Olarak Fiziksel ve Sanal Ortamda Ne Tür Saldırılara Maruz Kalabileceği
ve Bu Saldırılardan Nasıl Korunabileceğimiz Öğrenmiş Olmanızı Temenni Ederim.
Sürçü Lisan Eyledikse Affola
Konuyu Okuduğunuz İçin Teşekkür Ederim
İyi Forumlar Dilerim