Ilk konumuz, Google’i Proxy olarak Kullanarak, Erisimi Kisitlanmis Sayfalara Girebilmek. !
Konunun sahibi, birçok hack platformunda yeralan "bigthistle" nickname’li bir hacker arkadas.
Google’un kullanimi ile ilgili asagidaki yazisini sizlerle paylasmak istedim.
Google Dil Araçlari Servisini Proxy Kullanarak, Girisi Engelli Sitelere Sizmak.
Italyan sitesi, www.manuali.net adresindeki bir bilgi, bu hack’le ilgili bana ilham verdi. Bu sitedeki bilgiye göre, Google Translator’ý kullanarak, bir web sitesini tercüme etmek, siteye giris engelli bile olsa mümkün oluyordu. Buraya kadar her sey güzel. Fakat niye çeviri yapmak zorunda ?
Simdi, bastan baslayalim. Hepimizi bildigi gibi, Google bir arama motoru olmasindan öte, ayni zamanda, e mail, mapping, haber vb servisleri bizlere sunmakta. Google simdi ise bize bedava bir proxy servisi sunmakta. Proxy i tanimlamamiz gerekirse, bizim www. baglantilarimizin tamamini saglayan, PC’miz ile internet arasinda duran cihaz diyelim. Proxy’nin yaptigi, istenen siteden bütün verileri almaktir. Böylece, bir siteye girdiginizde, bütün bilgiler proxy den gelir.
Google’i proxy olarak kullanmanin amaci ne olabilir ? Çogunlukla, is hayatimizda, okulda, üniversitelerde kulandigimiz baglantilarda, güvenlik açisindan bunlari engelleyen bazi servisler mevcuttur. Kullanicinin istenmeyen sayfalara ( Karaliste ) girmesini engeller. Yapmaniz gereken tek sey, Google Translator Servisi ( Dil Araçlari )’ni proxy olarak kullanip, baglantimiza konmus engel setini asabiliriz.
Asagidaki adresi kullaniyoruz :
http://www.google.com/translate?lang...akolansite.com
( www.girisiyakasolansite.com diye verilen adres, girmek istediginiz adrestir. )
Bu islemi yaptigimizda, karsiniza gelecek olan sayfa, girmek istediginiz sayfanin, Ingilizce’den yine Ingilizce’ye çevrilmis halidir. Baglantiniz, google.com’a yönlendirilmis oldugu için ve bu domain yasakli olmadigi için ( Google’a girisin yasakli olmamasi gerekiyor.) bu sayfa içerigi ne olursa olsun engellenemeyecektir.
Dikkat ederseniz, bununla, girisi yasaklanmis sözkonusu URL’in içerigini okuyabildiðimiz için, sayfayi ( az da olsa ) hacklemis oluyoruz. Çünkü yukaridaki satirda verilmis olan, "langpair" parametresi, "en/en" ( Ingilizce’den Ingilizce’ye ) olarak ayarlanmis oldugu için, sayfa Google tarafindan islenecek ve içerik dil degisikligine ugramayacaktir. Eger baska bir dil kullanmak gerekirse, ( örnek olarak Fransizca ), yapmaniz gereken tek sey, langpair parametresini "fr/fr" olarak ayarlamanizdir. Böylece, girisi engellenmis bir Fransizca sitenin içerigine yine Fransizca erisebilirsiniz.
Son olarak eklememiz gereken kuçuk bir nokta. Bu islemi yaptiginizda, gizliliginizi korudugunuzdan çok emin olmayin, çünkü bu tip bir baglanti, sizin karalistedeki sayfalara girebilmenizi saðlar, ama IP adresinizi engellemez. IP’nizin saklanmadigini görmek için asagidaki linke girin.
face=Courier New color=#0000ffhttp://www.google.com/translate?langpair=enen&u=www.whatismyip.com
--------------------------------------------------------------------------
Hacker Defender ile ilgili ve Hacker Defender’ı yazan ve Rootkit’in GURU’su kabul edilen, Holy_Father’ın bunu niye yazdığı ve niye yazmaya devam edeceği ile ilgili yeni bir yazısı.
Önce Hacker Defender ile ilgili bilgi verelim:
Hacker-Defender, dünyada en fazla yayılmış olan root-kitlerden biri. Kullanıcı Mod’lu bir Root-Kit olan Hacker Defender’la, Windows’un birçok API fonksiyonunu değiştirebilirsiniz. Bunlar da, etkilenmiş bilgisayarda olup biten işlemlerin ( Çalışmakta olan dosyalar veya uygulamalar ) görülmesini engeller. Buna ek olarak, girdiği bilgisayarda, hali hazırda çalışmakta olan uygulamalar tarafından açılmış TCP portları kullanır ve bir arka kapı oluşturur. Bu ne demektir ? Bu şu anlama geliyor, Bir Uzaktan Port Tarama aracı ile bu açılmış kapıyı tesbit etmek mümkün değildir.
Hacker Defender ile ilgili bilgiyi aşağıdaki siteden inceleyebilirsiniz.
http://www.f-secure.com/v-descs/hacdef.shtml
Hacker Defender’ı yazan Holy_Father bu konuyla ilgili en son 20 Aralık’ta yapmış olduğu açıklamada, neden böyle bir tehlikeli root-kit yazdığını ve yazmaya devam edeceğini savunuyor.
Ona göre, bunun tek sebebi ANTİVİRÜSLER.
Yazıyı aşağıda veriyorum.
ROOTKIT’IN GURUSU : BÜTÜN BUNLARA SEBEP OLAN ANTİVİRÜSLER
Zeki bilgisayar kullanıcıları çok iyi bilirler ki, bir bilgisayar, iyi bir rootkit tarafından enfekte edilirse, ömür boyu değişikliğe uğramıştır.
Windows Rootkitleri arasında, bilindiği üzere Hacker Defender en tehlikelisi.
Hacker Defender’ı Yazan, Hacker, Holy_Father, niye böyle bir rootkit yazdığını, ve bu rootkiti tespit edebilmeniz için neler yapmanız gerektiğini açıklıyor.
"Bana göre, bütün antivirüs şirketleri, SAHTE bir güvenlik sağlıyor ve bilgisayarınızı asla korumuyorlar. Antivirüs programları, sadece kullanıcının görebileceği programlar ve zararlı kodlarla mücadele ediyor. Bunların sebeplerini araştırmıyorlar bile.
Eğer Hacker Defender’in, Antivirüsler-Tarafından-Tanınmayan-Kod’unu yayınlarsam, bu şirketlerin yapabilecekleri fazla bir şey yok. Tek yapabilecekleri, virüs tanımlamalarına bir kaç byte daha tanımlama eklemek olacaktır. Benim yazdığım koda karşılık tek yapabilecekleri, hazırladıkları tanımlamayla ancak müşterilerine bunu tesbit edebildiklerini göstereceklerdir fakat bu onlar için çözüm olmayacaktır, çünkü bunları aşmak için çeşitli yollar vardır ve olacaktır.
Bu durum, bütün güvenlik şirketlerinin işlerine gelmektedir. Böylelikle, ürünlerini kullanan kişiler, şirketin sağladığı yeni güncellemeleri internetten indirmeye zorlanmakta, böylece ürünlerinin yeni sürümlerinin satışı artmaktadır.
Evet, antivirüs ürünleri, çok fazla yaygınlanmış belli başlı zararlı solucanlara karşı sizleri koruyabilir. Fakat kullanıcılar için asıl tehlike, BELLİ BİR NOKTADAN BELLİ AMAÇLI GELİŞTİRİLMİŞ saldırılardır. Bunun için özel araçlar kullanılır. Bu kullandığımız araçlar, antivirüs şirketleri tarafından çok yüzüne çıkmadığı için yeni bir kod yazdığımızda, bunları database lerine eklemeleri zaman alır. Bu sebeplerden dolayı, hackerlar bu araçlarla, antivirüs şirketlerinden daima öndedir.
Fakat bu durumun değişmesi gerektiğine inanıyorum. Hacker Defender ve benzer Rootkit projelerimiz, bize göre, Antivirüs şirketlerini, ürünlerinin çekirdeklerini daha iyi incelemeye ve ürünlerini daha iyi hale getirmeye zorlayacaktır.
Bu durumu yıllara böldüğümde, durumun eskisinden daha iyi olduğunu söyleyebilirim. Fakat buna rağmen, antivirüs ürünleri ve rootkitlerin tesbiti ile ilgili daha çok iş yapmaları gerekiyor.Bu sebepten dolayı, bana göre çok zayıf olan ürünlerinin daha fazla gelişebilmesi için, ben işimi yapmaya devam edip onların güvenlik duvarlarını aşmanın yollarını sunmaya devam edeceğim.
Ta ki, bu şirketler GERÇEK GÜVENLİK ÇÖZÜMLERİ ile gelene kadar. Bu yüzden de, özellikle güvenlik şirketleri gibi bazı müşterilerimizden, sistemlerinin eksikliğinin tesbiti konusunda talepler almaktayız.
İnsanların en çok bana sorduğu soru, Güvenlikle ilgili bir yazılım yerine niye ROOTKIT yazmakta olduğum. Her ikisini de yapabilirim. Eğer rootkit yazarsam, kimsenin yazılacak anti-rootkiti kullanacağını sanmıyorum. Eğer anti-rootkit yazarsam, bu sefer root-kit’i kimsenin kullanacağını sanmıyorum. Bu yüzden, en azından pahalı ürünler satmakta olan şirketlerin işleri konusunda daha ciddi olması için ROOTKIT yazmaktayım.
Örnek olarak, Microsoft, XP/2000/2003 için yayınlamış olduğu, Windows Malicious Software Removal Tool ( MSRT ) ile Hacker Defender’ı tesbit edebildiğini iddia ediyor. En son MSRT ile en son yayınlanmış Hacker Defender’ı test ettiğimde ki, bu kodları ile birlikte verilmiş ve internetten indirilebilmektedir, MSRT, rootkiti yakalayamadı.
İsteyen kendi makinesinde deneme yapabilir.
Her paralı sürüm gibi, Hacker Defender’ın da paralı sürümünün code’u , antivirüslere yakalanmaması için üstünde küçük oynalamalar yapılmış durumda. 8 ayrı antivirüsün en güncel sürümleri ( Avast, AVG, Kaspersky, McAfee, Nod32, Norton, Panda, PC-cillin ) ile rootkiti deneyip en son halini sunmaktayız. Kodların antivirüslere yakalanmaması için kullandığımız anti-detection motorları her kullanıcı için farklı olabiliyor.
Sonuç olarak, kod’da yapabildiğimiz, tek bir bytelık değişim ile, çok pahalı fiyatla satılabilen güvenlik ürününüzün yapabileceği tarama tamamen temiz çıkıyor.
Anti-detection motoru ile yapabileceğimiz ileri kod değiştirme işlemleri ile, Hack Defender’ın, Blacklight, Rootkit/Revealer, IceSword, UnHackMe veya RKDETECTOR 2.0 gibi çok önemli root-kit tesbiti yapan programlara bile yakalanmaması sözkonusu."
--------------------------------------------------------------------------
Zaid Hamzah’ın Hack eylemleri ile ilgili, durumun yasal yönlerden ele alınması ile ilgili yazıları da burada paylaşacağız.
HACK’E YASAL YÖNLERDEN BAKIŞ
( LEGAL ASPECTS OF HACKING )
Bu hafta, tüm zamanların en büyük bilgisayar suçu olarak kabul edilen, hack eylemine, bir sanal suç davasını ele alıp derin bir bakış atacağız.
Sözkonusu durumla ilgili hukuki analizlere girmeden önce, sözkonusu hack aşamalarını anlamamız gerekiyor. Önümüzdeki yazıların bazılarında, hack eylemini, hukuki analiz tekniklerinin getirileriyle birlikte inceleyeceğiz.
Bilgisayar suçunda iki tip senaryo vardır. Birincisi, BİLGİSAYARIN HEDEF olması ve ikincisi ise BİLGİSAYARIN bir suç işlemeye yönelik ALET olarak kullanılması.
Bilgisayarın hedef olması durumunda, genel olarak bu tip bir suç, bir bilgisayara veya bilgisayar ağına yetkisiz girilmesi, o bilgisayardaki veya ağdaki dataların veya programların üstünde değişiklik yapılması olarak kabul edilmektedir.
Yukarda bahsedilen ikinci duruma örnek olarak ise, yani bilgisayarın, bir suç için kullanılmış olmasına örnek vermek gerekirse, birinin bir banka sistemini kırıp içine girmesi ve kanundısı yollardan para çekmesi gibi gösterilebilir.
Hack meselesini iyice anlamak için, Amerika Adalet bakanlığı Kaynaklı, aşağıda bahsi geçen Amerika’da olmuş olan duruma bir göz atalım:
İddialara gore, işsiz olan bilgisayar sistemcisi, İngiliz Gary Mc Kinnon, Amerikan Deniz Kuvvetleri Silahları Earl İstasyonu’nun bilgisayar ağına girmek, bilgisayar şifrelerini çalmak, ve 11 Eylül Saldırılarının hemen ardından, network ağını kapatmış olmakla suçlanmıştır.
McKinnon’un, başta NASA olmak üzere, Amerikan Kara, Hava ve Deniz Kuvvetleri ve Savunma Bakanlığı’na ait 92 bilgisayara artniyetli zarar verdiği tesbit edilmiştir.. Amerikan Askeri Ağına yapılan bu girişlerin sonucu olarak, Washington’nun Askeri Bölge Ağı devre dışı kalmıştır.
McKinnon bunun yanısıra, Pentagon’daki 2 computer’e ve 6 ayrı özel şirket network’une girmiş, ve 14 eyaletteki bilgisayarlara verdiği 900,000 Amerikan doları zarar vermekle suçlamaları ile yargılanmıştır.
İddialara gore, 7 Nisan 2001 yılında, McKinnon, Earle’e ait bilgisayar ağına, Liman Servisleri ( kimlik, yer tespiti, fiziksel şartlar, gemilerin ihtiyaçlarını izlemek ) için ana bilgisayar olarak, kullanılan, NWS Earle Pier Complex’teki bilgisayar vasıtasıyla giriş yapmıştır. Sözkonusu zamanda, McKinnon, Liman Servis bilgisayarına ve NWS Earl ağındaki tüm bilgisayarlara RemotelyAnyware Programını kurmakla suçlanmaktadır.
Bilindiği üzere, RemotelyAnywhere, Internet bağlantısı aracılığı ile, bir bilgisayarın uzak bir bilgisayar bağlanmasına olanak kılan ticari bir programdır.
Yukarıdaki suçlamalara ek olarak, 18 Haziran-21 Haziran 2001 tarihleri arasındaki sure boyunca, McKinnon, sözkonusu bilgisayar ve ağlarına, daha önce yüklemiş olduğu RemotelyAnywhere Programı vasıtasıyla girip sisteme ait 950 şifre çalmıştır. Yine ek olarak 23 Eylül 2001 tarihinde, McKinnon’nun yine aynı programı kullanarak, yapmış olduğu girişler yüzünden, Deniz Kuvvetleri Sistemindeki ağda, diğer bilgisayarların açılıp kapanmasını sağlayan dosya programlarını silerek ve RemoteAnywhere Programını silmeden, sistemi savunmasız bırakmış olmak suçlamalarıyla itham edilmiş, iddialara gore 290,431 USD zarar verdigi iddia edilmiştir.
Kanuni bakış açısından, Burada bahsi geçen olay, Korumalı ve Güvenlikli bir bilgisayar sistemine, yetkisiz giriş yapıp değişiklikler yapmaktır.
Yukardaki senaryoda, McKinnonun yapmıs oldugu, hack eylemleri sırasıyla şöyle belirtilebilir. yasal olarak 5 ayrı aşama olarak kabul edilir.
EARL Deniz Kuvvetleri Silahları Bilgisayarı’nın ağına girmek.
İstasyonun bilgisayarlarına, RemotelyAnywhere programı Kurmak.
Bilgisayar şifrelerini çalmak.
Dosyaları ve bilgisayar loglarını silmek.
Ve system ağını kapatmak.
Konu ile ilgili diğer makaleleri, Malezyadaki bir dava ile örnekleyerek devam edecegiz.
Bilgisayar Suçu olması için gereken eylemler, ozellikle, dijital kanıt olarak kabul eden, LOG dosyalarının silinmesi ile ilgili eylemler ile ilgili genel mahkemelerin değerlendirmesi, bakış açısı ve analizine egileceğiz.
--------------------------------------------------------------------------
KABLOSUZ HACKERLAR
GİRİŞ
Kablosuz LANLAR ve wireless özellikli laptoplara yapilan saldirilar, ticari aglara girip, verileri alan hackerlar için çok kolay.
IT sirketleri, bu istenmeyen ve beklenmeyen saldirilara karsi yeni planlar gelistirmek zorundalar.
Ag güvenlik managerlarinin, durumu devamli monitör etmek, potansiyel ag gediklerini bulmak, veya sistemde herhangi bir gedik oldugunda, müdahale etmesi gerekiyor.
Kablosuz baglantilara karsi korumayi etkin, otomatik kilabilmek için, hükümet ve organizasyonlar, kablosuz bir tesbit ve engelleme sistemi ( WIDP ) gelistirmek zorundalar.
HACKER PROBLEMLERI: BEKLENMEYENE KARŞI TETİKTE OLMAK
Günümüzde hackerlar, sadece teknik üstünlüklerini göstermekle kalmayip, finansal kaynaklara da el atmaktalar. Müsterilerin hesaplarina girebilmekte ve kredi kartlari veya rakip firma bilgilerini ele geçirebilmekteler. Ve artik bunu kablosuz teknoloji ile basarmaktalar. Bunun için kullanilan araçlarla, yine agdaki en zayif halkayi bulmak, ve access point diye tabir edilen (AP) giris noktalarini kullanmak yeterli oluyor.
Hackerlar, WLAN açiklarini bulma konusunda, sifreleme ve otantikasyon ***** araçlari, war driving denilen KORUNMASIZ WLAN larin scan edilmesi ve tespitinde kullanilan araçlar gibi çok çesitli araçlar kullanmaktalar.
Bu araçlarla uzak bir noktadan bile 802.11 sinyallerini alabilmekteler. Her hafta yeni yeni çikan hack araçlari mevcut ve bunlar *** *** kullanilmakta.
En azindan, sirketler, WLAN üzerindeki iletesimlerini sifrelemek zorundalar.
Bu birinci adim. Bir VNP bile kullanilsa, WLAN’lar, bu tip güvenlik uygulamalarinad gedik yaratabilecek ileri tip saldirilara karsi korunmasiz. Ilk bakista, geleneksel taramalarla ag gedik ve açiklarini tesbit etmek mümkün olsa da, bu tip açiklari gidermenin baska açiklar ve güvenlik sorunlari dogurdugu ortada.
OTOMATİK KABLOSUZ TEHDİT KORUMALARINI ETKİN KILMAK
Kuruluslar, kablosuz iletisim kanallarini monitör edebilen kablosuz güvenlik sistemleri kullanirlarsa, WLAN güvenlik sorunlarina daha kolay çözüm bulabilirler. Rafa kaldirmis AP donanimlari, bir bölgeyi tarama gibi limitli olsa da, Amerika, Asya ve Avrupa’daki 220.802.11a/b/g kanallarinin yanisira gri kanallari da taramak gerekiyor.
Gri kanallari tarayabilmek özellikle global organizasyonlar için çok mühim. Eger bir kurulus, özel olarak tahsis edilmis kablosuz bir güvenlik çözümü kullanmiyorsa, hiç bir zaman, güvenlik mimarisinin ne kadar etkin oldugunu bilemeyecektir. Kablosuz teknoloji kullanan organizasyonlar, kendi yayinlarini bile monitor etmek durumundalar.
Bu konuda gelismis, özel amaçli tahsis edilen çozümlerin çogu, havadaki dalgalari devamli kontrol eden güvenlik algilayicilarindan olusmus 2 sirali mimariler kullaniyor. Her sensor’den geçen kritik veri, belli bir bölüm veya merkezi bir güvenlik server’i ile haberlesiyor ve sophistike algoritmalar kullarak, sözkonusu güvenlik risklerini ve performanstaki tuhafliklari belirleyebiliyor. Eger herhangi bir alarm durumu sözkonusu ise, bu durum, güvenlik konsollarina ya da entegre edilmis 3. bir güvenlik sistemine rapor ediliyor.
ÖZET
Özetlemek gerekirse, özel amaçli yapilan saldirilarda, günümüz kuruluslarinin büyük hedefi ve maalesef WLAN bu konuda en çok açik veren alan. Iyi ve dogru tanimlanmis bir program ve çözümle, WLANlar güvenlik altina alinabiliyor. Es zamanli monitoring bunlarin en basinda geliyor.
Tüm kuruluslarin, ve hükümet organizasyonlarinin, kritik aglarinin ve güvenliginin saglanmasi için WIDP çözümlerine ihtiyaci bulunmakta.
--------------------------------------------------------------------------
HoneyNet projesi, bugünkü Internet kullanımının birlikte getirdiği tehditler ve açıklarla ilgili dikkatleri üstüne çekmeyi amaçlıyor. Birçok bireysel kullanıcı veya organizasyon, ne hedef olduklarının farkındalar, ne de kimler tarafından saldırıya uğradıklarının. Bu proje ile gerekli bilgilerin sağlanması, kullanıcıların bilgilendirilmesi ve ne tip tehditlere karşı ne tip önlemler almaları gerektiği verilmekte. Özellikle KNOW YOUR ENEMY ( Düşmanınızı Tanıyın ) Dökümanları bu konuda oldukça bir fikir vermekte.
Öğretmek ve Bilgilendirmek
HoneyNet projesi, tehlikelerin ve saldırıların çeşitleri ile ilgili bilgisi olan kullanıcılara daha güvenli surf edebilmeleri için çözümler ve kaynaklar sunmayı da amaçlamakta. Geçmiş zamandaki bilgileri toparladığımızda, hackerların kullanmış olduğu araçlar sınırlı olmasına rağmen, şu an için projenin topladığı bilgiler, hackerların ek bilgileri, saldırı motivleri, nasıl haberleştikleri, sistemlere nasıl saldırdıkları ve sistemin içine girdikten sonraki davranış türleri.
Araştırma
HoneyNet projesinin araştırma amacı ise, Cyber tehditlere karşı güvenliklerini devamlı üst noktada tutmak isteyen kuruluşların bunları takip etmesine yardımcı olmak.
HoneyNet Projesi, güvenlikle ilgili alanda bir araya gelmiş, Kanada, Israil, Hollanda, Almanya, Avustralya ve Amerika’nın çeşitli güvenlik şirketlerinden oluşan bir organizasyon.
Gün geçtikçe Cyber Underground Dünyası hakkında bilgileri artmakta ve gelişmekte. Sözkonusu projede yer alan çoğu üye, kendi alanlarında uzmanlanmış ve güvenlik konusunda yeni açıkların keşfedilmesine yardımcı olan kişiler.
HoneyNet Projesi’nde görevli olarak yer alan kişiler:
Richard Salgado, Yahoo!, Inc., Senior Legal Director
George Kurtz, CEO Foundstone
Bruce Schneier, CTO Counterpane
Alfred Huger, CTO SecurityFocus.com
Martin Roesch, CTO SourceFire
Jennifer Granick, Stanford Law School
Lance Spitzner, Honeynet
Bunun dışında HoneyNet Projesine kendi uzmanlıklarıyla dışardan bilgi vermekle katılan kişiler :
Brad Powell, fish.com
Brian Carrier, Developer and maintainer of the Forensics Sleuthkit.
Brian Caswell, Sourcefire, Principal Research Engineer David Dittrich, Homepage
Dragos Ruiu
Edward Balas, Pervasive Technology Labs at Indiana University
Fyodor, Author of the Nmap Security Scanner and Insecure.Org; Co-authored hacking novel Stealing the Network: How to Own a Continent.
Jay Beale, Bastille Linux
Jed Haile, Developer of Honeysnap, data analysis lead, and senior geek at The Logan Group, Inc.
Jeff Nathan, Homepage
Jeff Stutzman, Information Security Cisco Systems
Job de Haas, Kernel weenie
Kirby Kuehl, Cisco Systems, Inc. NIDS Developer
Lance Spitzner
Max Vision, whitehats.com
Max Kilger, Team Psychologist (Stanford, PH.D)
Mike Davis, CEO, Savid Technologies, Inc.
Michael J. Clark, Lead Developer on Virtual Honeynets
Ralph Logan, The Logan Group, Inc..
Niels Provos, University of Michigan.
Paul Neff
Rob McMillen, lead developer of Honeywall CDROM
William Salusky, F.I.R.E!!!, and the Honeywall CD.
HoneyNet Projesine Ülke olarak Katılan Organizasyonlar:
Active Member Organizations
Chinese Honeynet Project
The Spanish Honeynet Project
SIG^2 Internet Weather Forecast Centre
German Honeynet Project
Portugal Honeynet Project
Ga Tech Honeynet Project
French Honeynet Project
Italian Honeynet Project
Pakistan Honeynet Project
West Point Honeynet Project
UK Honeynet Project
Honeynet Project at the University of Texas at Austin
Brazilian Honeynet Project
Azusa Pacific University Honeynet
NetForensics Honeynet
Internet Systematics Lab Honeynet Project - Greece
Paladion Networks Honeynet Project - India
Florida HoneyNet Project
HoneyNet projesine katılması planlanan organizasyonlar :
Phillipines Honeynet Project 18 Subat, 2006
Norwegian Honeynet Project 06, Subat, 2006
HoneyPot ile HoneyNet projesi arasında ne tip bir benzerlik var.
Burada HoneyPot deyimini özellikle açıklamamız gerekiyor. HoneyPot, belli saldırıların çeşitlerini ve analizlerini elde edebilmek için hackerlar için kurulmuş tuzak sistemler. Türkçesi Bal Peteği.
Bu sistemlere girişlerin monitor edilmesi ve incelenmesiyle, yeni güvenlik sistemleri, saldırıların önlenmesi sözkonusu. HoneyNet Projesi de bir anlamda Online devam eden bir HoneyPot projesi.
HoneyNet Projesi uzun süredir devam etmekte. Bununla ilgili HoneyPot organizasyonlarından, iki önemli dokumanı aşağıda paylasacagim.
Birincisi : Script Kiddie diye tabir edilen, Script Çocuğu denilen kullanıcıların tanımları ile ilgili eski bir dokuman ve HoneyPot Projesi’de en son yer alan Phishing saldırıları ile ilgili bir döküman. Bu proje ile ilgili, yeni gelecek dokumanları da bu başlıktan sizlerle paylaşacağız.
--------------------------------------------------------------------------
KNOW YOUR ENEMY / DÜŞMANINIZI TANIYIN !
SCRIPT ÇOCUKLARI’ININ ARAÇLARI VE METOTLARI
Bize ilk öğretilen nokta, düşmanınızı iyi tanımaz lazım ki kendinizi ona göre iyi bir şekilde savunabilmeniz mümkün olsun.
Askeri bir doktrin olan bu söz, ağ güvenliği dünyasında da geçerliliğini korumakta. Aynen askeri alanda olduğu gibi korumanız gereken kaynaklar var. Bu kaynakların paylaşımını engellemek için, tehditin nasıl olduğunu, nasıl ve nereden geleceğini bilmeniz gerekiyor.
Bu yazıda bahsi geçen Script Çocukları diye adlandırdığımız ve sayıları çok artmış kullanıcıların, kullandığı araçlar ve metodların incelenmesi.
SCRIPT KIDDIE kimdir ?
Script Kiddie, işin kolayına kaçmayı amaçlayan kişidir. Özel bir bilgi aramaz, özel bir şirketi hacklemeye çalışmaz. Tek amaç, rastgele, root’u ele geçirmektir. Birkaç yayınlanmış küçük exploit ile ve Internette çıkan son exploitleri taramakla uzun süre vaktini geçirip, açıkları toplar.
Script Kiddie’lerin ilerlemiş halleri, kendi araçların kendi geliştirmiş ve girdikleri bilgisayarda arkalarında çözümü zor açık kapı bırakan kişilerdir. Ama asıl script kiddie, ne yaptığını, niçin ve nasıl yaptığını bilmez, Sadece komutları toplar, onları uygular.
TEHDİT
Yukarda belirtildiği üzere, Script Kiddie rastgele bilgisayar aradığı için, çok büyük tehdit oluşturur. Er ya da geç, sistemler script kiddie nin aradığı açığa takılır.
Güvenlik konusunda çok ileri seviyeye gelmiş adminler bile sistemlerinin kurduktan çok kısa bir süre sonra script kiddielerle karşılaşıp hayrete düşmektedirler. Script Kiddie’ler tarafından belli araçlarla yapılan taramaların sayısı az olsa, bu güvenlikle ilgili kişilerin işine gelir. Fakat internette geliştirilmiş milyonlarca sistemle, script kiddie’lerin işleri çok kolaylaşır. Çünkü kullandıkları araçlar çok geliştirilmiş ve kullanımı kolay hale getirilmiştir. Bu yüzden de dünyada script kiddie diye tanımlanan arama tarama ve girme amaçlı saldırılar çok artmıştır.
Ne kadar güvenliğiniz sıkı olursa olsun, Script Kiddie, bu konuda bilgisi çok yüksek biri olmadığı için elindeki tüm araçları dener.
METOTLAR
Script Çocuğu’nun metodu basittir. Internette, zayıf nokta için araştırma yapar ve bulunca exploit’ler.
Kullandığı çoğu araç, otomatik olarak hazırlanmıştır, kullanımı çok zahmet gerektirmez. Aracı kullanır, günler sonra bakıp sonuçları toplar. Hiçbir zaman kullandığı bir araç diğerine benzemez, aynen kullandığı iki exploit in birbirine benzemediği gibi. Yine de kullanılan araçların strateji ve çalışma şekilleri aynıdır. İlk olarak, taranacak bir IP veritabanı geliştirir. Daha sonra bu iplerin açık noktaları için tarama yapar.
Örneklediğimizde, diyelim ki, bir kullanıcı Lunix sistemlerinde, imapd_exploid.c için bir araç kullanması gerekirse, önce, taranabilecek IP adreslerinin veritabanı yapılır. Bu veritabanı hazırlandıktan sonra, hangi sistemler Linux’da çalışıyor, o belirlenir. Günümüzdeki tüm tarayıcılılar bunu rahatlıkla tesbit edebilmektedirler. Daha sonra, Hangi Linux Sisteminin kullanıldığı tesbit edilir. Bundan sonrası, bu sistemleri nasıl exploit etmeye kalır.
Bütün bu tarama işlemleri, script kiddieler arasında paylaşılır, biriktirilir. Diyelim ki, bir kullanıcı, ulaşılabilen Linux sistemlerde hangi portların açık olduğunu gösteren bir veritabanı geliştirdi. Kullanıcı bunun üstüne hemen, sözkonusu imap açığını exploit yapmak için veritabanını kullanır. Ama diyelim ki, sözkonusu tarihten bir ay sonra, farklı bir portta Linux sistemde bir exploit tanımlandı. O zaman, script kiddie yeni bir veri tabanı oluşturmak yerine, hemen eski veri tabanını tarar, ve benzer açıkları karşılaştırır. Alternatif olarak, birbirlerine sistem açıklarını parayla satan script kiddieler bile mevcuttur. Hazır bilgiyle, bazı durumlarda Script Kiddie sisteminizi taramadan bile hazır bir kodla sisteminizi hackleyebilir.
Bu tip saldırıların bir ileri versiyonu, trojan kullanmak ve arka kapı kullanmaktır. Arka kapılar, hackera, sistemin haberi olmadan girmesini sağlar. Kullanılan trojanlar, hacker’i kolaylıkla gizler, loglarda ortaya çıkmaz, sistemin işleyişinde veya dosya yapısında gözükmez.
Saldırı zamanları tamamen değişiktir. Günün belli bir zamanı için gerçekleşmez. Birçok adminin tesbit ettiğine göre, script kiddie ler 24 saat açık aramakla uğraştığı için, sistemi günün herhangi bir zamanı hackleyebilirler.
Bu tip açıkları tarama metodu çeşitli amaçlar için kullanır. DOS saldırıları bunun başında gelir. Bu tip saldırı şekli tek kullanıcı bazlıdır. Önce tek kullanıcı bazlayan DOS saldırısı, daha sonra, koordineli bir şekilde hedef veya hedeflerin üstüne yönelir. Çeşitli noktalardan aynı yere saldırı olduğu için, saldırıların nereden nasıl geldiğinin tesbiti zor olur. Bu tip kurbanlara karşı güçlenmek için daha çok script kiddielerin taktikleri kullanılır. Açığı olan sistemler rastgele tesbit edilir ve daha sonra DDOS sistemlerinde kullanılmak üzere kenara konur. Sistemler ne kadar ilerlerlerse ilerlesin, DDOS saldırıları da o kadar gelişmektedir.
ARAÇLAR
Kullanılan araçlar genelde kullanımı basit, bir kaç opsiyonludur. IP veritabanı için oluşturan araçlar rastgele çalışır ve Interneti tarar. Örnek vermek gerekirse, bir aracın, A B C opsiyonları olsun. Kullanılan harfler, taranacak ağın boyutunu belirler. Daha sonra, bu araçla, hangi IP ağının rastgele taranacağı seçilir. Başka bir araç ise domain ismini kullanır. (zone bunun için mükemmel bir önrektir. ) Araçlar, domain isimlerinin ve alt domain isimlerini yöneten IP veritabanlarını oluştururlar. Şu ana kadar kullanıcılar, .edu veya entire.com şeklinde 2 milyonun üstünde ip yi tarayıp veri tabanları oluşturmuşlardır.
Tarama işlemleri bittikten sonra, IP ler, açıkların tesbiti için çeşitle araçlarla tekrar taranır. Böylece açıkların çeşitleri, işletim sistemi kolaylıkla tesbit edilir. Açık belirlenince saldırı şekilleri basittir.
BU TİP TEHDİTLERE KARŞI KORUNMA
Sözkonusu tehditlere karşı korunmak için alınması gereken önlemler şunlardır.
Birincisi script kiddie, işin kolayına kaçan kişi olduğu için, genel ve çok yaygınlanmış exploitleri bilir ve kullanır. Sisteminizin bu yaygın exploitlere karşı korumalı olduğundan emin olmanız gerekmektedir. www.cert.org ve www.ciac.org yaygınlanmış exploitleri karşılaştırmak için iyi kaynaklardan ikisi dir. Bunun yanısıra securityfocus.com da bulunan bugtraq de iyi bir kaynaktır. Bunun dışında, sistemin en iyi korunma şekli kullanılmayan servisin devre dışı bırakılmasıdır. İlla bir servis kullanılacaksa, bunun en son sürüm olmasına dikkat edilmelidir. Bunun için Armoring Solaris, Armoring Linux, Armorin NT sitelerini ziyaret edebilirsiniz.
Kırılacak sistemlerin veritabanlarının oluşumunda, genellikle DNS sunucuları kullanılır.
SONUÇ
Script Çocuğu bilmeden bütün sistemler için tehdit oluşturur. Onlar için sistemin yeri, değeri ve önemi yoktur. Kulandıkları motive ve metotlarla sisteminizi nasıl koruyacağınıza dair daha sağlıklı bir fikir edinebilmek mümkündür
--------------------------------------------------------------------------
KNOW YOUR ENEMY / DÜŞMANINIZI TANIYIN – PHISHING SALDIRILARI ( Fake Mail )
Phishing Saldırılarının Arkasındakiler :
Phishing işlemi bilindiği üzere, banka veya benzer organizasyonlar tarafından gönderiliyor gibi gözüken, ve kurbanın, kullanıcı ismi, şifreleri, hesap idleri, ATM sifreleri veya kredi kartı bilgilerini elde etmek amacıyla hazırlanmış, bazen spam şeklinde de kullanılan fake maillerdir. Tipik olarak, phishing saldırılarında, fake maili alan kişi, sözkonusu maildeki sayfanın gerçek kuruluşun sayfası olduğunu sanar ve kişisel bilgilerini girer.
Bu yazıda phishing ile ilgili Alman ve İngiliz HoneyNet Projelerinden toplanmış pratik bilgilere yer vereceğiz. Yazıda bahsi geçen phishing tekniklerinin, tüm teknikleri içermediğini belirtmekte fayda var. Günümüzde phishing ile ilgili yepyeni taktikler geliştirilmekte.
GİRİŞ
Kurbanı, kişisel bilgisini veya şifresini vermeye zorlama metodu, hack dünyasında çok eski ve bilinen bir metottur. Bu metot çok fazla sosyal mühendislik içerer. 1990’larda, sistemlerin birbirine iyice bağlanması ve internetin popüler olmasıyla, hackerlar, işlemi otomatik hale getirip, toplu hedefleri amaçlamaya başlamışlardır. Bu tip aktifiveterle ilgili ilk sistematik araştırma, 1998 yılında, Gordon ve Chess tarafından, Almanya Munich’te yayınlanmıştır. Gordon ve Chess, AOL üzerindeki casus yazılımları araştırırken onun yerine, phishing saldırıları ile karşı karşıya gelmişlerdiler. Gordon ve Chess tarafından tanımlanan bir phishing mesajı, asağıda gösterilmiştir.
Sector 4G9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made **** by loss of data in the Sector 4G9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click ’Respond’ and re-state your password. Failure to comply will result in immediate account deletion.
( Veritabanında bulunan 4G9E sektörü I/O fonksiyonlarını yitirmiştir. Hesabınız sistemimine giriş yaptığında, kayıtlı bir kullanıcı olup olmadığınızı tesbit edememiş durumdayız. 94 saniye öne, bahsi geçen sektörde oluşan veri kaybından ötürü, kayıt onay işleminiz AOL protokolüne göre geçersizdir. Tekrar onaylanma işlemi için, Respond Tuşuna basın ve şifrenizi tekrar girin. Aksi takdirde hesabınız silinecektir. )
Eski phishing saldırıları daha çok AOL hesaplarının ele geçirilmesini veya kredi kartı bilgilerinin elde edilme çabalarını amaçlıyordu. Genel olarak mesajların çoğu, bilgisayar kullanımı konusunda çok ileri olmayan kurbanları hedeflemekteydi. Yukarda verilmiş örnekte olduğu gibi, sözkonusu mesaj, donanım aygıtının bozukluğu veya sistemin çalışmaması ile ilgili bir konu içerdiği için, bu tip kullanıcılar, böyle bir mesaj karşısında, daha fazla karışıklığa meydan vermemek için, düşünmeden şifre ve kullanıcı isimlerini girmekteler.
Günümüzdeki, phishing saldırılarındaki stratejiler ise, daha çok toplu kullanıcıları ve bilinen markaların kullanılması yönünde gelişmiş vaziyette. Metodun çalışma prensibi yine aynı, kulllanıcının güvendiği şirkete acil bilgi vermesi isteniyor veya sözkonusu markanın bilinen sitesine yönlendirilen kurbanın acilen işlem yapması isteniyor. Bu tip phisking saldırılarında, seçilen şirket web sayfalarının çoğu, bankalar, kredi kartı şirketleri, veya E-Bay, PayPal gibi düzenli ödemeler talep eden web siteleri. Phishing e maillerinin birçok örneği, Anti-Phishing Working Group’un web sayfasından incelenebilir. Bu sayfa, kullanılan fake mailleri arşivlemekte.
Phishing Conceptine genel bir giriş yaptıktan sonra, bu saldırıda kullanılan teknik ve araçları incelememizde fayda var.
ARAÇLAR VE TAKTİKLER
Phishing saldırıları, daha çok kullanıcıyı çok şüphelendirmeyen basit araçlar ve teknikler kullanır. Basit bir phishing saldırısının yapısında, kullanıcının, başka bir server’a upload edilmiş bir HTML sayfasına girmesi sağlanır. Kullanıcının bilgilerinin ise, bir script ile elde edilmesi ile son bulur.
Daha ileri metodlarda, kullanıcılar belli sayfalara otomatik olarak yönlendirilseler de sonuç olarak metod aynı şekilde işler. Modern HTML düzenleyicilerle, bir web sitesinin aynısını, tamamen aynı görünümüyle oluşturabilmek ve bunu güvenlikle çok iyi korunmayan sayısı sonsuz web server’a upload etmek mümkündür. İstendikten sonra, Phishing Web siteleri için evdeki PC ler bile ana kaynak olabilir., hedeflerin illa bankalar, kuruluşlar veya akademik sistemler olması gerekli değildir.
Phisher, çok iyi bilinen bir markanın web sitesini, faker bir şekilde hazırladıktan sonra, iş, fake siteyi, kurbana gerçek site olarak yedirmeye kalır. Hacker, sözkonusu web sitenin DNS lerini ( DNS POISONING diye tabir edilen işlem ) değiştirmediği muddetçe veya network trafigiyle oynayamadığı muddetce, yapabileceği tek şey, hazırlamış olduğu fake in içeriğinin kurbanı ikna etmesi olacaktır. Hazırlanmış Fake Web Sitesi NE KADAR KALİTELİYSE, bu Web Sisi NE KADAR ÇOK INTERNET’e atılmıssa, kurbanların bu fake web sitesine girme olasıkları o kadar yüksektir.
Maalesef burada saldırıyı yapan kişinin şanssız olduğu noktalar mevcuttur. Banka veya tanınmış bir ürün web sitesini hedeflediğinde, sözkonusu fake web sitesinin reklamını yapacağı platformlar kısıtlı olup, ( bu bir chat odası olabilir, forumlar olabilir, ber web sitenin teknik bölümü olabilir ) bu siteye kimin giriş yapmakta olduğunu tahmin etmesi imkansızdır. Ayrıca, fake web sitesi yapılmış şirketin gerçek kullanıcılarına bu sitenin varlığının rapor edilmesi veya keşfedilmesi olasılığı genel olarak çok yüksek olur. Bunun sonucu ise genel olarak, gerekli önemlerin alınması, kullanıcıların uyarılması ve bu web sitesinin, sözkonusu fake web siteyi kapattırması ile son bulur. Bu sebeplerden dolayı, phisher’lar minimum riskle, maximum potansiyel kullanıcıya en kısa sürede erişmeyi amaçlamaktadırlar ve bu sorunla en çok Spam E mail kullanarak üstesinden gelirler.
Spamcilerin ellerinde, aktif olan milyonlarca mailleri barından veritabanları mevcuttur. Bu yüzden fisherlar, spammer’ların ellerindeki veri tabanlarınanı kullanarak minimum riskle maksimum kullanıcıya ulaşmayı hedeflerler. Spam e mailler genellikle, yabancı ülkelerdeki sunucular veya Zombie PC ( BOTNETLER )’lerin global ağları vasıtasıyla yollanır. Dolayısıyla e maili yollayan kullanıcın takip edilmesi bir hayli zordur.
Resmi bir web sitesinden gelmiş gibi bir e mail alan bilgisiz kullanıcılar, sözkonusu e maillerin gerçekliğini kontrol etmeden, özellikle aldıkları diğer ürünlerle ilgili Spam e mailleri es geçip, bu fake web sitelerine düşünmeden girmektedirler. Bunun yanısıra, iyi bir phisher kurbanı aldatmak için, daha gelişmiş teknikler kullanabilir. Şöyle ki :
Phisherlar, domain isimleri yerine, fake web sitelerine yönlendiren, ip adresleri kullanabilirler. Birçok kullanıcı bu IP adresinin kayıtlı olup olmadığını ya da sözkonusu şirkete ait bir ip adresi olup olmadığını kontrol etmez veya etmeyi de bilmez.
Phisherlar, fake web sitelerini hazırlarken, gerçek web sitesinin domain ismine çok yakın adresler kullanabilirler. Örnek olarak, bigbank.com yerine bgbank.com kullanırlar. Çoğu kullanıcı bunu farketmeyebilir.
Phiserlar, kullandıkları fake mailin içine, sözkonusu şirketin gerçek linklerini kendi fake linkleri ile karıştırıp verebilirler. Böylelikle kullanılan tarayacıların çoğu sözkonusu gerçek linklere giderken, az bir bölümü de fake web sitesine yönlendirilebilir. Eger, kullanıcının e mail client’ının auto rendering özelliği açıksa, e mail açılır açılmaz, bu sitelere yönlendirme yapılabilir.
Fake web sitesinin URL adresi, phisher tarafından encode edilebilir. Kullanılan encode metoduna göre değişiklik gösteren bu yolla, kullanıcılar gördükleri web linki ile linkin gittiği adresin farklı olduğunu anlayamazlar. Bu tekniklerden biri de IDN spoofingdir ve unicode URL adreslerini kullanır. Bu unicode adresler de, tarayacılar tarafından orijiinal web sayfası olarak algılanabilir.
Phisher’lar, kurbanın tarayıcısına sözkonusu mesajla ilgili bir açıktan faydalanarak exploit yapabilirler. Microsoft Internet Explorer’ın ve Outlook uygulamalarının bu şekilde binlerce açığı mevcuttur. ( Adress Bar Spoofing )
Başka bir metod, kullanıcıyı önce fake web sitesine sokar, password unu ve kullanıcı ismini kayıt altına log olarak alıp, sonra kullanıcıyı tekrar orijinal web sitesine yönlendirir. Böylece kurban, bir hata mesajı ile karşılaştığını sanıp, tekrar linke tıkladığında kendini, gerçek web sitesinde bulduğu için asla şüphelenmez.
Başka bir metod, phisher, web sitesini gerçek sitenin proxy si olarak ayarlayabilir. SSL kullanarak sifrelenmemis log credentiallarını kullanabilir. ( bazı geçerli SSL sertifikalarını bile spoof domainler için kullanabilir. )
Başka bir metod, kullanıcıyı web sitesine yönlendirip, Browser Helper Object gibi zararlı bir kodu, Internet Explorer a bulaştırabilir. Eğer hacker başarılı olursa, kurban, fake web sitesini ziyaret ederken, kendini gerçek siteyi ziyaret ettiğini sanar.
Yine benzeri şekilde, kurbanın PC si icindeki host dosyalarını yönetmek için çeşitli zararlı kodlar kullanılabilir. Bu kodlarlarla DNS isimleri ile IP adresleri arasındaki local mapping sistemleri idare edilebilir. Kullanıcının host dosyasının içine, faker bir DNS girişi eklenerek, onun gerçek sayfada olduğu izlenimi uyandırılabilir.
Bütün bu karışık metodlar, ve sonu gelmez yollarla, online bankacılık veya e ticaret sitelerini kullanan kullanıcı, hangi sayfaların gerçek hangi sayfaların sahte olduğunu güçlükle ayırt edebilir. Bu şekilde hacker tüm bilgileri elde edebilir
Konunun sahibi, birçok hack platformunda yeralan "bigthistle" nickname’li bir hacker arkadas.
Google’un kullanimi ile ilgili asagidaki yazisini sizlerle paylasmak istedim.
Google Dil Araçlari Servisini Proxy Kullanarak, Girisi Engelli Sitelere Sizmak.
Italyan sitesi, www.manuali.net adresindeki bir bilgi, bu hack’le ilgili bana ilham verdi. Bu sitedeki bilgiye göre, Google Translator’ý kullanarak, bir web sitesini tercüme etmek, siteye giris engelli bile olsa mümkün oluyordu. Buraya kadar her sey güzel. Fakat niye çeviri yapmak zorunda ?
Simdi, bastan baslayalim. Hepimizi bildigi gibi, Google bir arama motoru olmasindan öte, ayni zamanda, e mail, mapping, haber vb servisleri bizlere sunmakta. Google simdi ise bize bedava bir proxy servisi sunmakta. Proxy i tanimlamamiz gerekirse, bizim www. baglantilarimizin tamamini saglayan, PC’miz ile internet arasinda duran cihaz diyelim. Proxy’nin yaptigi, istenen siteden bütün verileri almaktir. Böylece, bir siteye girdiginizde, bütün bilgiler proxy den gelir.
Google’i proxy olarak kullanmanin amaci ne olabilir ? Çogunlukla, is hayatimizda, okulda, üniversitelerde kulandigimiz baglantilarda, güvenlik açisindan bunlari engelleyen bazi servisler mevcuttur. Kullanicinin istenmeyen sayfalara ( Karaliste ) girmesini engeller. Yapmaniz gereken tek sey, Google Translator Servisi ( Dil Araçlari )’ni proxy olarak kullanip, baglantimiza konmus engel setini asabiliriz.
Asagidaki adresi kullaniyoruz :
http://www.google.com/translate?lang...akolansite.com
( www.girisiyakasolansite.com diye verilen adres, girmek istediginiz adrestir. )
Bu islemi yaptigimizda, karsiniza gelecek olan sayfa, girmek istediginiz sayfanin, Ingilizce’den yine Ingilizce’ye çevrilmis halidir. Baglantiniz, google.com’a yönlendirilmis oldugu için ve bu domain yasakli olmadigi için ( Google’a girisin yasakli olmamasi gerekiyor.) bu sayfa içerigi ne olursa olsun engellenemeyecektir.
Dikkat ederseniz, bununla, girisi yasaklanmis sözkonusu URL’in içerigini okuyabildiðimiz için, sayfayi ( az da olsa ) hacklemis oluyoruz. Çünkü yukaridaki satirda verilmis olan, "langpair" parametresi, "en/en" ( Ingilizce’den Ingilizce’ye ) olarak ayarlanmis oldugu için, sayfa Google tarafindan islenecek ve içerik dil degisikligine ugramayacaktir. Eger baska bir dil kullanmak gerekirse, ( örnek olarak Fransizca ), yapmaniz gereken tek sey, langpair parametresini "fr/fr" olarak ayarlamanizdir. Böylece, girisi engellenmis bir Fransizca sitenin içerigine yine Fransizca erisebilirsiniz.
Son olarak eklememiz gereken kuçuk bir nokta. Bu islemi yaptiginizda, gizliliginizi korudugunuzdan çok emin olmayin, çünkü bu tip bir baglanti, sizin karalistedeki sayfalara girebilmenizi saðlar, ama IP adresinizi engellemez. IP’nizin saklanmadigini görmek için asagidaki linke girin.
face=Courier New color=#0000ffhttp://www.google.com/translate?langpair=enen&u=www.whatismyip.com
--------------------------------------------------------------------------
Hacker Defender ile ilgili ve Hacker Defender’ı yazan ve Rootkit’in GURU’su kabul edilen, Holy_Father’ın bunu niye yazdığı ve niye yazmaya devam edeceği ile ilgili yeni bir yazısı.
Önce Hacker Defender ile ilgili bilgi verelim:
Hacker-Defender, dünyada en fazla yayılmış olan root-kitlerden biri. Kullanıcı Mod’lu bir Root-Kit olan Hacker Defender’la, Windows’un birçok API fonksiyonunu değiştirebilirsiniz. Bunlar da, etkilenmiş bilgisayarda olup biten işlemlerin ( Çalışmakta olan dosyalar veya uygulamalar ) görülmesini engeller. Buna ek olarak, girdiği bilgisayarda, hali hazırda çalışmakta olan uygulamalar tarafından açılmış TCP portları kullanır ve bir arka kapı oluşturur. Bu ne demektir ? Bu şu anlama geliyor, Bir Uzaktan Port Tarama aracı ile bu açılmış kapıyı tesbit etmek mümkün değildir.
Hacker Defender ile ilgili bilgiyi aşağıdaki siteden inceleyebilirsiniz.
http://www.f-secure.com/v-descs/hacdef.shtml
Hacker Defender’ı yazan Holy_Father bu konuyla ilgili en son 20 Aralık’ta yapmış olduğu açıklamada, neden böyle bir tehlikeli root-kit yazdığını ve yazmaya devam edeceğini savunuyor.
Ona göre, bunun tek sebebi ANTİVİRÜSLER.
Yazıyı aşağıda veriyorum.
ROOTKIT’IN GURUSU : BÜTÜN BUNLARA SEBEP OLAN ANTİVİRÜSLER
Zeki bilgisayar kullanıcıları çok iyi bilirler ki, bir bilgisayar, iyi bir rootkit tarafından enfekte edilirse, ömür boyu değişikliğe uğramıştır.
Windows Rootkitleri arasında, bilindiği üzere Hacker Defender en tehlikelisi.
Hacker Defender’ı Yazan, Hacker, Holy_Father, niye böyle bir rootkit yazdığını, ve bu rootkiti tespit edebilmeniz için neler yapmanız gerektiğini açıklıyor.
"Bana göre, bütün antivirüs şirketleri, SAHTE bir güvenlik sağlıyor ve bilgisayarınızı asla korumuyorlar. Antivirüs programları, sadece kullanıcının görebileceği programlar ve zararlı kodlarla mücadele ediyor. Bunların sebeplerini araştırmıyorlar bile.
Eğer Hacker Defender’in, Antivirüsler-Tarafından-Tanınmayan-Kod’unu yayınlarsam, bu şirketlerin yapabilecekleri fazla bir şey yok. Tek yapabilecekleri, virüs tanımlamalarına bir kaç byte daha tanımlama eklemek olacaktır. Benim yazdığım koda karşılık tek yapabilecekleri, hazırladıkları tanımlamayla ancak müşterilerine bunu tesbit edebildiklerini göstereceklerdir fakat bu onlar için çözüm olmayacaktır, çünkü bunları aşmak için çeşitli yollar vardır ve olacaktır.
Bu durum, bütün güvenlik şirketlerinin işlerine gelmektedir. Böylelikle, ürünlerini kullanan kişiler, şirketin sağladığı yeni güncellemeleri internetten indirmeye zorlanmakta, böylece ürünlerinin yeni sürümlerinin satışı artmaktadır.
Evet, antivirüs ürünleri, çok fazla yaygınlanmış belli başlı zararlı solucanlara karşı sizleri koruyabilir. Fakat kullanıcılar için asıl tehlike, BELLİ BİR NOKTADAN BELLİ AMAÇLI GELİŞTİRİLMİŞ saldırılardır. Bunun için özel araçlar kullanılır. Bu kullandığımız araçlar, antivirüs şirketleri tarafından çok yüzüne çıkmadığı için yeni bir kod yazdığımızda, bunları database lerine eklemeleri zaman alır. Bu sebeplerden dolayı, hackerlar bu araçlarla, antivirüs şirketlerinden daima öndedir.
Fakat bu durumun değişmesi gerektiğine inanıyorum. Hacker Defender ve benzer Rootkit projelerimiz, bize göre, Antivirüs şirketlerini, ürünlerinin çekirdeklerini daha iyi incelemeye ve ürünlerini daha iyi hale getirmeye zorlayacaktır.
Bu durumu yıllara böldüğümde, durumun eskisinden daha iyi olduğunu söyleyebilirim. Fakat buna rağmen, antivirüs ürünleri ve rootkitlerin tesbiti ile ilgili daha çok iş yapmaları gerekiyor.Bu sebepten dolayı, bana göre çok zayıf olan ürünlerinin daha fazla gelişebilmesi için, ben işimi yapmaya devam edip onların güvenlik duvarlarını aşmanın yollarını sunmaya devam edeceğim.
Ta ki, bu şirketler GERÇEK GÜVENLİK ÇÖZÜMLERİ ile gelene kadar. Bu yüzden de, özellikle güvenlik şirketleri gibi bazı müşterilerimizden, sistemlerinin eksikliğinin tesbiti konusunda talepler almaktayız.
İnsanların en çok bana sorduğu soru, Güvenlikle ilgili bir yazılım yerine niye ROOTKIT yazmakta olduğum. Her ikisini de yapabilirim. Eğer rootkit yazarsam, kimsenin yazılacak anti-rootkiti kullanacağını sanmıyorum. Eğer anti-rootkit yazarsam, bu sefer root-kit’i kimsenin kullanacağını sanmıyorum. Bu yüzden, en azından pahalı ürünler satmakta olan şirketlerin işleri konusunda daha ciddi olması için ROOTKIT yazmaktayım.
Örnek olarak, Microsoft, XP/2000/2003 için yayınlamış olduğu, Windows Malicious Software Removal Tool ( MSRT ) ile Hacker Defender’ı tesbit edebildiğini iddia ediyor. En son MSRT ile en son yayınlanmış Hacker Defender’ı test ettiğimde ki, bu kodları ile birlikte verilmiş ve internetten indirilebilmektedir, MSRT, rootkiti yakalayamadı.
İsteyen kendi makinesinde deneme yapabilir.
Her paralı sürüm gibi, Hacker Defender’ın da paralı sürümünün code’u , antivirüslere yakalanmaması için üstünde küçük oynalamalar yapılmış durumda. 8 ayrı antivirüsün en güncel sürümleri ( Avast, AVG, Kaspersky, McAfee, Nod32, Norton, Panda, PC-cillin ) ile rootkiti deneyip en son halini sunmaktayız. Kodların antivirüslere yakalanmaması için kullandığımız anti-detection motorları her kullanıcı için farklı olabiliyor.
Sonuç olarak, kod’da yapabildiğimiz, tek bir bytelık değişim ile, çok pahalı fiyatla satılabilen güvenlik ürününüzün yapabileceği tarama tamamen temiz çıkıyor.
Anti-detection motoru ile yapabileceğimiz ileri kod değiştirme işlemleri ile, Hack Defender’ın, Blacklight, Rootkit/Revealer, IceSword, UnHackMe veya RKDETECTOR 2.0 gibi çok önemli root-kit tesbiti yapan programlara bile yakalanmaması sözkonusu."
--------------------------------------------------------------------------
Zaid Hamzah’ın Hack eylemleri ile ilgili, durumun yasal yönlerden ele alınması ile ilgili yazıları da burada paylaşacağız.
HACK’E YASAL YÖNLERDEN BAKIŞ
( LEGAL ASPECTS OF HACKING )
Bu hafta, tüm zamanların en büyük bilgisayar suçu olarak kabul edilen, hack eylemine, bir sanal suç davasını ele alıp derin bir bakış atacağız.
Sözkonusu durumla ilgili hukuki analizlere girmeden önce, sözkonusu hack aşamalarını anlamamız gerekiyor. Önümüzdeki yazıların bazılarında, hack eylemini, hukuki analiz tekniklerinin getirileriyle birlikte inceleyeceğiz.
Bilgisayar suçunda iki tip senaryo vardır. Birincisi, BİLGİSAYARIN HEDEF olması ve ikincisi ise BİLGİSAYARIN bir suç işlemeye yönelik ALET olarak kullanılması.
Bilgisayarın hedef olması durumunda, genel olarak bu tip bir suç, bir bilgisayara veya bilgisayar ağına yetkisiz girilmesi, o bilgisayardaki veya ağdaki dataların veya programların üstünde değişiklik yapılması olarak kabul edilmektedir.
Yukarda bahsedilen ikinci duruma örnek olarak ise, yani bilgisayarın, bir suç için kullanılmış olmasına örnek vermek gerekirse, birinin bir banka sistemini kırıp içine girmesi ve kanundısı yollardan para çekmesi gibi gösterilebilir.
Hack meselesini iyice anlamak için, Amerika Adalet bakanlığı Kaynaklı, aşağıda bahsi geçen Amerika’da olmuş olan duruma bir göz atalım:
İddialara gore, işsiz olan bilgisayar sistemcisi, İngiliz Gary Mc Kinnon, Amerikan Deniz Kuvvetleri Silahları Earl İstasyonu’nun bilgisayar ağına girmek, bilgisayar şifrelerini çalmak, ve 11 Eylül Saldırılarının hemen ardından, network ağını kapatmış olmakla suçlanmıştır.
McKinnon’un, başta NASA olmak üzere, Amerikan Kara, Hava ve Deniz Kuvvetleri ve Savunma Bakanlığı’na ait 92 bilgisayara artniyetli zarar verdiği tesbit edilmiştir.. Amerikan Askeri Ağına yapılan bu girişlerin sonucu olarak, Washington’nun Askeri Bölge Ağı devre dışı kalmıştır.
McKinnon bunun yanısıra, Pentagon’daki 2 computer’e ve 6 ayrı özel şirket network’une girmiş, ve 14 eyaletteki bilgisayarlara verdiği 900,000 Amerikan doları zarar vermekle suçlamaları ile yargılanmıştır.
İddialara gore, 7 Nisan 2001 yılında, McKinnon, Earle’e ait bilgisayar ağına, Liman Servisleri ( kimlik, yer tespiti, fiziksel şartlar, gemilerin ihtiyaçlarını izlemek ) için ana bilgisayar olarak, kullanılan, NWS Earle Pier Complex’teki bilgisayar vasıtasıyla giriş yapmıştır. Sözkonusu zamanda, McKinnon, Liman Servis bilgisayarına ve NWS Earl ağındaki tüm bilgisayarlara RemotelyAnyware Programını kurmakla suçlanmaktadır.
Bilindiği üzere, RemotelyAnywhere, Internet bağlantısı aracılığı ile, bir bilgisayarın uzak bir bilgisayar bağlanmasına olanak kılan ticari bir programdır.
Yukarıdaki suçlamalara ek olarak, 18 Haziran-21 Haziran 2001 tarihleri arasındaki sure boyunca, McKinnon, sözkonusu bilgisayar ve ağlarına, daha önce yüklemiş olduğu RemotelyAnywhere Programı vasıtasıyla girip sisteme ait 950 şifre çalmıştır. Yine ek olarak 23 Eylül 2001 tarihinde, McKinnon’nun yine aynı programı kullanarak, yapmış olduğu girişler yüzünden, Deniz Kuvvetleri Sistemindeki ağda, diğer bilgisayarların açılıp kapanmasını sağlayan dosya programlarını silerek ve RemoteAnywhere Programını silmeden, sistemi savunmasız bırakmış olmak suçlamalarıyla itham edilmiş, iddialara gore 290,431 USD zarar verdigi iddia edilmiştir.
Kanuni bakış açısından, Burada bahsi geçen olay, Korumalı ve Güvenlikli bir bilgisayar sistemine, yetkisiz giriş yapıp değişiklikler yapmaktır.
Yukardaki senaryoda, McKinnonun yapmıs oldugu, hack eylemleri sırasıyla şöyle belirtilebilir. yasal olarak 5 ayrı aşama olarak kabul edilir.
EARL Deniz Kuvvetleri Silahları Bilgisayarı’nın ağına girmek.
İstasyonun bilgisayarlarına, RemotelyAnywhere programı Kurmak.
Bilgisayar şifrelerini çalmak.
Dosyaları ve bilgisayar loglarını silmek.
Ve system ağını kapatmak.
Konu ile ilgili diğer makaleleri, Malezyadaki bir dava ile örnekleyerek devam edecegiz.
Bilgisayar Suçu olması için gereken eylemler, ozellikle, dijital kanıt olarak kabul eden, LOG dosyalarının silinmesi ile ilgili eylemler ile ilgili genel mahkemelerin değerlendirmesi, bakış açısı ve analizine egileceğiz.
--------------------------------------------------------------------------
KABLOSUZ HACKERLAR
GİRİŞ
Kablosuz LANLAR ve wireless özellikli laptoplara yapilan saldirilar, ticari aglara girip, verileri alan hackerlar için çok kolay.
IT sirketleri, bu istenmeyen ve beklenmeyen saldirilara karsi yeni planlar gelistirmek zorundalar.
Ag güvenlik managerlarinin, durumu devamli monitör etmek, potansiyel ag gediklerini bulmak, veya sistemde herhangi bir gedik oldugunda, müdahale etmesi gerekiyor.
Kablosuz baglantilara karsi korumayi etkin, otomatik kilabilmek için, hükümet ve organizasyonlar, kablosuz bir tesbit ve engelleme sistemi ( WIDP ) gelistirmek zorundalar.
HACKER PROBLEMLERI: BEKLENMEYENE KARŞI TETİKTE OLMAK
Günümüzde hackerlar, sadece teknik üstünlüklerini göstermekle kalmayip, finansal kaynaklara da el atmaktalar. Müsterilerin hesaplarina girebilmekte ve kredi kartlari veya rakip firma bilgilerini ele geçirebilmekteler. Ve artik bunu kablosuz teknoloji ile basarmaktalar. Bunun için kullanilan araçlarla, yine agdaki en zayif halkayi bulmak, ve access point diye tabir edilen (AP) giris noktalarini kullanmak yeterli oluyor.
Hackerlar, WLAN açiklarini bulma konusunda, sifreleme ve otantikasyon ***** araçlari, war driving denilen KORUNMASIZ WLAN larin scan edilmesi ve tespitinde kullanilan araçlar gibi çok çesitli araçlar kullanmaktalar.
Bu araçlarla uzak bir noktadan bile 802.11 sinyallerini alabilmekteler. Her hafta yeni yeni çikan hack araçlari mevcut ve bunlar *** *** kullanilmakta.
En azindan, sirketler, WLAN üzerindeki iletesimlerini sifrelemek zorundalar.
Bu birinci adim. Bir VNP bile kullanilsa, WLAN’lar, bu tip güvenlik uygulamalarinad gedik yaratabilecek ileri tip saldirilara karsi korunmasiz. Ilk bakista, geleneksel taramalarla ag gedik ve açiklarini tesbit etmek mümkün olsa da, bu tip açiklari gidermenin baska açiklar ve güvenlik sorunlari dogurdugu ortada.
OTOMATİK KABLOSUZ TEHDİT KORUMALARINI ETKİN KILMAK
Kuruluslar, kablosuz iletisim kanallarini monitör edebilen kablosuz güvenlik sistemleri kullanirlarsa, WLAN güvenlik sorunlarina daha kolay çözüm bulabilirler. Rafa kaldirmis AP donanimlari, bir bölgeyi tarama gibi limitli olsa da, Amerika, Asya ve Avrupa’daki 220.802.11a/b/g kanallarinin yanisira gri kanallari da taramak gerekiyor.
Gri kanallari tarayabilmek özellikle global organizasyonlar için çok mühim. Eger bir kurulus, özel olarak tahsis edilmis kablosuz bir güvenlik çözümü kullanmiyorsa, hiç bir zaman, güvenlik mimarisinin ne kadar etkin oldugunu bilemeyecektir. Kablosuz teknoloji kullanan organizasyonlar, kendi yayinlarini bile monitor etmek durumundalar.
Bu konuda gelismis, özel amaçli tahsis edilen çozümlerin çogu, havadaki dalgalari devamli kontrol eden güvenlik algilayicilarindan olusmus 2 sirali mimariler kullaniyor. Her sensor’den geçen kritik veri, belli bir bölüm veya merkezi bir güvenlik server’i ile haberlesiyor ve sophistike algoritmalar kullarak, sözkonusu güvenlik risklerini ve performanstaki tuhafliklari belirleyebiliyor. Eger herhangi bir alarm durumu sözkonusu ise, bu durum, güvenlik konsollarina ya da entegre edilmis 3. bir güvenlik sistemine rapor ediliyor.
ÖZET
Özetlemek gerekirse, özel amaçli yapilan saldirilarda, günümüz kuruluslarinin büyük hedefi ve maalesef WLAN bu konuda en çok açik veren alan. Iyi ve dogru tanimlanmis bir program ve çözümle, WLANlar güvenlik altina alinabiliyor. Es zamanli monitoring bunlarin en basinda geliyor.
Tüm kuruluslarin, ve hükümet organizasyonlarinin, kritik aglarinin ve güvenliginin saglanmasi için WIDP çözümlerine ihtiyaci bulunmakta.
--------------------------------------------------------------------------
HoneyNet projesi, bugünkü Internet kullanımının birlikte getirdiği tehditler ve açıklarla ilgili dikkatleri üstüne çekmeyi amaçlıyor. Birçok bireysel kullanıcı veya organizasyon, ne hedef olduklarının farkındalar, ne de kimler tarafından saldırıya uğradıklarının. Bu proje ile gerekli bilgilerin sağlanması, kullanıcıların bilgilendirilmesi ve ne tip tehditlere karşı ne tip önlemler almaları gerektiği verilmekte. Özellikle KNOW YOUR ENEMY ( Düşmanınızı Tanıyın ) Dökümanları bu konuda oldukça bir fikir vermekte.
Öğretmek ve Bilgilendirmek
HoneyNet projesi, tehlikelerin ve saldırıların çeşitleri ile ilgili bilgisi olan kullanıcılara daha güvenli surf edebilmeleri için çözümler ve kaynaklar sunmayı da amaçlamakta. Geçmiş zamandaki bilgileri toparladığımızda, hackerların kullanmış olduğu araçlar sınırlı olmasına rağmen, şu an için projenin topladığı bilgiler, hackerların ek bilgileri, saldırı motivleri, nasıl haberleştikleri, sistemlere nasıl saldırdıkları ve sistemin içine girdikten sonraki davranış türleri.
Araştırma
HoneyNet projesinin araştırma amacı ise, Cyber tehditlere karşı güvenliklerini devamlı üst noktada tutmak isteyen kuruluşların bunları takip etmesine yardımcı olmak.
HoneyNet Projesi, güvenlikle ilgili alanda bir araya gelmiş, Kanada, Israil, Hollanda, Almanya, Avustralya ve Amerika’nın çeşitli güvenlik şirketlerinden oluşan bir organizasyon.
Gün geçtikçe Cyber Underground Dünyası hakkında bilgileri artmakta ve gelişmekte. Sözkonusu projede yer alan çoğu üye, kendi alanlarında uzmanlanmış ve güvenlik konusunda yeni açıkların keşfedilmesine yardımcı olan kişiler.
HoneyNet Projesi’nde görevli olarak yer alan kişiler:
Richard Salgado, Yahoo!, Inc., Senior Legal Director
George Kurtz, CEO Foundstone
Bruce Schneier, CTO Counterpane
Alfred Huger, CTO SecurityFocus.com
Martin Roesch, CTO SourceFire
Jennifer Granick, Stanford Law School
Lance Spitzner, Honeynet
Bunun dışında HoneyNet Projesine kendi uzmanlıklarıyla dışardan bilgi vermekle katılan kişiler :
Brad Powell, fish.com
Brian Carrier, Developer and maintainer of the Forensics Sleuthkit.
Brian Caswell, Sourcefire, Principal Research Engineer David Dittrich, Homepage
Dragos Ruiu
Edward Balas, Pervasive Technology Labs at Indiana University
Fyodor, Author of the Nmap Security Scanner and Insecure.Org; Co-authored hacking novel Stealing the Network: How to Own a Continent.
Jay Beale, Bastille Linux
Jed Haile, Developer of Honeysnap, data analysis lead, and senior geek at The Logan Group, Inc.
Jeff Nathan, Homepage
Jeff Stutzman, Information Security Cisco Systems
Job de Haas, Kernel weenie
Kirby Kuehl, Cisco Systems, Inc. NIDS Developer
Lance Spitzner
Max Vision, whitehats.com
Max Kilger, Team Psychologist (Stanford, PH.D)
Mike Davis, CEO, Savid Technologies, Inc.
Michael J. Clark, Lead Developer on Virtual Honeynets
Ralph Logan, The Logan Group, Inc..
Niels Provos, University of Michigan.
Paul Neff
Rob McMillen, lead developer of Honeywall CDROM
William Salusky, F.I.R.E!!!, and the Honeywall CD.
HoneyNet Projesine Ülke olarak Katılan Organizasyonlar:
Active Member Organizations
Chinese Honeynet Project
The Spanish Honeynet Project
SIG^2 Internet Weather Forecast Centre
German Honeynet Project
Portugal Honeynet Project
Ga Tech Honeynet Project
French Honeynet Project
Italian Honeynet Project
Pakistan Honeynet Project
West Point Honeynet Project
UK Honeynet Project
Honeynet Project at the University of Texas at Austin
Brazilian Honeynet Project
Azusa Pacific University Honeynet
NetForensics Honeynet
Internet Systematics Lab Honeynet Project - Greece
Paladion Networks Honeynet Project - India
Florida HoneyNet Project
HoneyNet projesine katılması planlanan organizasyonlar :
Phillipines Honeynet Project 18 Subat, 2006
Norwegian Honeynet Project 06, Subat, 2006
HoneyPot ile HoneyNet projesi arasında ne tip bir benzerlik var.
Burada HoneyPot deyimini özellikle açıklamamız gerekiyor. HoneyPot, belli saldırıların çeşitlerini ve analizlerini elde edebilmek için hackerlar için kurulmuş tuzak sistemler. Türkçesi Bal Peteği.
Bu sistemlere girişlerin monitor edilmesi ve incelenmesiyle, yeni güvenlik sistemleri, saldırıların önlenmesi sözkonusu. HoneyNet Projesi de bir anlamda Online devam eden bir HoneyPot projesi.
HoneyNet Projesi uzun süredir devam etmekte. Bununla ilgili HoneyPot organizasyonlarından, iki önemli dokumanı aşağıda paylasacagim.
Birincisi : Script Kiddie diye tabir edilen, Script Çocuğu denilen kullanıcıların tanımları ile ilgili eski bir dokuman ve HoneyPot Projesi’de en son yer alan Phishing saldırıları ile ilgili bir döküman. Bu proje ile ilgili, yeni gelecek dokumanları da bu başlıktan sizlerle paylaşacağız.
--------------------------------------------------------------------------
KNOW YOUR ENEMY / DÜŞMANINIZI TANIYIN !
SCRIPT ÇOCUKLARI’ININ ARAÇLARI VE METOTLARI
Bize ilk öğretilen nokta, düşmanınızı iyi tanımaz lazım ki kendinizi ona göre iyi bir şekilde savunabilmeniz mümkün olsun.
Askeri bir doktrin olan bu söz, ağ güvenliği dünyasında da geçerliliğini korumakta. Aynen askeri alanda olduğu gibi korumanız gereken kaynaklar var. Bu kaynakların paylaşımını engellemek için, tehditin nasıl olduğunu, nasıl ve nereden geleceğini bilmeniz gerekiyor.
Bu yazıda bahsi geçen Script Çocukları diye adlandırdığımız ve sayıları çok artmış kullanıcıların, kullandığı araçlar ve metodların incelenmesi.
SCRIPT KIDDIE kimdir ?
Script Kiddie, işin kolayına kaçmayı amaçlayan kişidir. Özel bir bilgi aramaz, özel bir şirketi hacklemeye çalışmaz. Tek amaç, rastgele, root’u ele geçirmektir. Birkaç yayınlanmış küçük exploit ile ve Internette çıkan son exploitleri taramakla uzun süre vaktini geçirip, açıkları toplar.
Script Kiddie’lerin ilerlemiş halleri, kendi araçların kendi geliştirmiş ve girdikleri bilgisayarda arkalarında çözümü zor açık kapı bırakan kişilerdir. Ama asıl script kiddie, ne yaptığını, niçin ve nasıl yaptığını bilmez, Sadece komutları toplar, onları uygular.
TEHDİT
Yukarda belirtildiği üzere, Script Kiddie rastgele bilgisayar aradığı için, çok büyük tehdit oluşturur. Er ya da geç, sistemler script kiddie nin aradığı açığa takılır.
Güvenlik konusunda çok ileri seviyeye gelmiş adminler bile sistemlerinin kurduktan çok kısa bir süre sonra script kiddielerle karşılaşıp hayrete düşmektedirler. Script Kiddie’ler tarafından belli araçlarla yapılan taramaların sayısı az olsa, bu güvenlikle ilgili kişilerin işine gelir. Fakat internette geliştirilmiş milyonlarca sistemle, script kiddie’lerin işleri çok kolaylaşır. Çünkü kullandıkları araçlar çok geliştirilmiş ve kullanımı kolay hale getirilmiştir. Bu yüzden de dünyada script kiddie diye tanımlanan arama tarama ve girme amaçlı saldırılar çok artmıştır.
Ne kadar güvenliğiniz sıkı olursa olsun, Script Kiddie, bu konuda bilgisi çok yüksek biri olmadığı için elindeki tüm araçları dener.
METOTLAR
Script Çocuğu’nun metodu basittir. Internette, zayıf nokta için araştırma yapar ve bulunca exploit’ler.
Kullandığı çoğu araç, otomatik olarak hazırlanmıştır, kullanımı çok zahmet gerektirmez. Aracı kullanır, günler sonra bakıp sonuçları toplar. Hiçbir zaman kullandığı bir araç diğerine benzemez, aynen kullandığı iki exploit in birbirine benzemediği gibi. Yine de kullanılan araçların strateji ve çalışma şekilleri aynıdır. İlk olarak, taranacak bir IP veritabanı geliştirir. Daha sonra bu iplerin açık noktaları için tarama yapar.
Örneklediğimizde, diyelim ki, bir kullanıcı Lunix sistemlerinde, imapd_exploid.c için bir araç kullanması gerekirse, önce, taranabilecek IP adreslerinin veritabanı yapılır. Bu veritabanı hazırlandıktan sonra, hangi sistemler Linux’da çalışıyor, o belirlenir. Günümüzdeki tüm tarayıcılılar bunu rahatlıkla tesbit edebilmektedirler. Daha sonra, Hangi Linux Sisteminin kullanıldığı tesbit edilir. Bundan sonrası, bu sistemleri nasıl exploit etmeye kalır.
Bütün bu tarama işlemleri, script kiddieler arasında paylaşılır, biriktirilir. Diyelim ki, bir kullanıcı, ulaşılabilen Linux sistemlerde hangi portların açık olduğunu gösteren bir veritabanı geliştirdi. Kullanıcı bunun üstüne hemen, sözkonusu imap açığını exploit yapmak için veritabanını kullanır. Ama diyelim ki, sözkonusu tarihten bir ay sonra, farklı bir portta Linux sistemde bir exploit tanımlandı. O zaman, script kiddie yeni bir veri tabanı oluşturmak yerine, hemen eski veri tabanını tarar, ve benzer açıkları karşılaştırır. Alternatif olarak, birbirlerine sistem açıklarını parayla satan script kiddieler bile mevcuttur. Hazır bilgiyle, bazı durumlarda Script Kiddie sisteminizi taramadan bile hazır bir kodla sisteminizi hackleyebilir.
Bu tip saldırıların bir ileri versiyonu, trojan kullanmak ve arka kapı kullanmaktır. Arka kapılar, hackera, sistemin haberi olmadan girmesini sağlar. Kullanılan trojanlar, hacker’i kolaylıkla gizler, loglarda ortaya çıkmaz, sistemin işleyişinde veya dosya yapısında gözükmez.
Saldırı zamanları tamamen değişiktir. Günün belli bir zamanı için gerçekleşmez. Birçok adminin tesbit ettiğine göre, script kiddie ler 24 saat açık aramakla uğraştığı için, sistemi günün herhangi bir zamanı hackleyebilirler.
Bu tip açıkları tarama metodu çeşitli amaçlar için kullanır. DOS saldırıları bunun başında gelir. Bu tip saldırı şekli tek kullanıcı bazlıdır. Önce tek kullanıcı bazlayan DOS saldırısı, daha sonra, koordineli bir şekilde hedef veya hedeflerin üstüne yönelir. Çeşitli noktalardan aynı yere saldırı olduğu için, saldırıların nereden nasıl geldiğinin tesbiti zor olur. Bu tip kurbanlara karşı güçlenmek için daha çok script kiddielerin taktikleri kullanılır. Açığı olan sistemler rastgele tesbit edilir ve daha sonra DDOS sistemlerinde kullanılmak üzere kenara konur. Sistemler ne kadar ilerlerlerse ilerlesin, DDOS saldırıları da o kadar gelişmektedir.
ARAÇLAR
Kullanılan araçlar genelde kullanımı basit, bir kaç opsiyonludur. IP veritabanı için oluşturan araçlar rastgele çalışır ve Interneti tarar. Örnek vermek gerekirse, bir aracın, A B C opsiyonları olsun. Kullanılan harfler, taranacak ağın boyutunu belirler. Daha sonra, bu araçla, hangi IP ağının rastgele taranacağı seçilir. Başka bir araç ise domain ismini kullanır. (zone bunun için mükemmel bir önrektir. ) Araçlar, domain isimlerinin ve alt domain isimlerini yöneten IP veritabanlarını oluştururlar. Şu ana kadar kullanıcılar, .edu veya entire.com şeklinde 2 milyonun üstünde ip yi tarayıp veri tabanları oluşturmuşlardır.
Tarama işlemleri bittikten sonra, IP ler, açıkların tesbiti için çeşitle araçlarla tekrar taranır. Böylece açıkların çeşitleri, işletim sistemi kolaylıkla tesbit edilir. Açık belirlenince saldırı şekilleri basittir.
BU TİP TEHDİTLERE KARŞI KORUNMA
Sözkonusu tehditlere karşı korunmak için alınması gereken önlemler şunlardır.
Birincisi script kiddie, işin kolayına kaçan kişi olduğu için, genel ve çok yaygınlanmış exploitleri bilir ve kullanır. Sisteminizin bu yaygın exploitlere karşı korumalı olduğundan emin olmanız gerekmektedir. www.cert.org ve www.ciac.org yaygınlanmış exploitleri karşılaştırmak için iyi kaynaklardan ikisi dir. Bunun yanısıra securityfocus.com da bulunan bugtraq de iyi bir kaynaktır. Bunun dışında, sistemin en iyi korunma şekli kullanılmayan servisin devre dışı bırakılmasıdır. İlla bir servis kullanılacaksa, bunun en son sürüm olmasına dikkat edilmelidir. Bunun için Armoring Solaris, Armoring Linux, Armorin NT sitelerini ziyaret edebilirsiniz.
Kırılacak sistemlerin veritabanlarının oluşumunda, genellikle DNS sunucuları kullanılır.
SONUÇ
Script Çocuğu bilmeden bütün sistemler için tehdit oluşturur. Onlar için sistemin yeri, değeri ve önemi yoktur. Kulandıkları motive ve metotlarla sisteminizi nasıl koruyacağınıza dair daha sağlıklı bir fikir edinebilmek mümkündür
--------------------------------------------------------------------------
KNOW YOUR ENEMY / DÜŞMANINIZI TANIYIN – PHISHING SALDIRILARI ( Fake Mail )
Phishing Saldırılarının Arkasındakiler :
Phishing işlemi bilindiği üzere, banka veya benzer organizasyonlar tarafından gönderiliyor gibi gözüken, ve kurbanın, kullanıcı ismi, şifreleri, hesap idleri, ATM sifreleri veya kredi kartı bilgilerini elde etmek amacıyla hazırlanmış, bazen spam şeklinde de kullanılan fake maillerdir. Tipik olarak, phishing saldırılarında, fake maili alan kişi, sözkonusu maildeki sayfanın gerçek kuruluşun sayfası olduğunu sanar ve kişisel bilgilerini girer.
Bu yazıda phishing ile ilgili Alman ve İngiliz HoneyNet Projelerinden toplanmış pratik bilgilere yer vereceğiz. Yazıda bahsi geçen phishing tekniklerinin, tüm teknikleri içermediğini belirtmekte fayda var. Günümüzde phishing ile ilgili yepyeni taktikler geliştirilmekte.
GİRİŞ
Kurbanı, kişisel bilgisini veya şifresini vermeye zorlama metodu, hack dünyasında çok eski ve bilinen bir metottur. Bu metot çok fazla sosyal mühendislik içerer. 1990’larda, sistemlerin birbirine iyice bağlanması ve internetin popüler olmasıyla, hackerlar, işlemi otomatik hale getirip, toplu hedefleri amaçlamaya başlamışlardır. Bu tip aktifiveterle ilgili ilk sistematik araştırma, 1998 yılında, Gordon ve Chess tarafından, Almanya Munich’te yayınlanmıştır. Gordon ve Chess, AOL üzerindeki casus yazılımları araştırırken onun yerine, phishing saldırıları ile karşı karşıya gelmişlerdiler. Gordon ve Chess tarafından tanımlanan bir phishing mesajı, asağıda gösterilmiştir.
Sector 4G9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made **** by loss of data in the Sector 4G9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click ’Respond’ and re-state your password. Failure to comply will result in immediate account deletion.
( Veritabanında bulunan 4G9E sektörü I/O fonksiyonlarını yitirmiştir. Hesabınız sistemimine giriş yaptığında, kayıtlı bir kullanıcı olup olmadığınızı tesbit edememiş durumdayız. 94 saniye öne, bahsi geçen sektörde oluşan veri kaybından ötürü, kayıt onay işleminiz AOL protokolüne göre geçersizdir. Tekrar onaylanma işlemi için, Respond Tuşuna basın ve şifrenizi tekrar girin. Aksi takdirde hesabınız silinecektir. )
Eski phishing saldırıları daha çok AOL hesaplarının ele geçirilmesini veya kredi kartı bilgilerinin elde edilme çabalarını amaçlıyordu. Genel olarak mesajların çoğu, bilgisayar kullanımı konusunda çok ileri olmayan kurbanları hedeflemekteydi. Yukarda verilmiş örnekte olduğu gibi, sözkonusu mesaj, donanım aygıtının bozukluğu veya sistemin çalışmaması ile ilgili bir konu içerdiği için, bu tip kullanıcılar, böyle bir mesaj karşısında, daha fazla karışıklığa meydan vermemek için, düşünmeden şifre ve kullanıcı isimlerini girmekteler.
Günümüzdeki, phishing saldırılarındaki stratejiler ise, daha çok toplu kullanıcıları ve bilinen markaların kullanılması yönünde gelişmiş vaziyette. Metodun çalışma prensibi yine aynı, kulllanıcının güvendiği şirkete acil bilgi vermesi isteniyor veya sözkonusu markanın bilinen sitesine yönlendirilen kurbanın acilen işlem yapması isteniyor. Bu tip phisking saldırılarında, seçilen şirket web sayfalarının çoğu, bankalar, kredi kartı şirketleri, veya E-Bay, PayPal gibi düzenli ödemeler talep eden web siteleri. Phishing e maillerinin birçok örneği, Anti-Phishing Working Group’un web sayfasından incelenebilir. Bu sayfa, kullanılan fake mailleri arşivlemekte.
Phishing Conceptine genel bir giriş yaptıktan sonra, bu saldırıda kullanılan teknik ve araçları incelememizde fayda var.
ARAÇLAR VE TAKTİKLER
Phishing saldırıları, daha çok kullanıcıyı çok şüphelendirmeyen basit araçlar ve teknikler kullanır. Basit bir phishing saldırısının yapısında, kullanıcının, başka bir server’a upload edilmiş bir HTML sayfasına girmesi sağlanır. Kullanıcının bilgilerinin ise, bir script ile elde edilmesi ile son bulur.
Daha ileri metodlarda, kullanıcılar belli sayfalara otomatik olarak yönlendirilseler de sonuç olarak metod aynı şekilde işler. Modern HTML düzenleyicilerle, bir web sitesinin aynısını, tamamen aynı görünümüyle oluşturabilmek ve bunu güvenlikle çok iyi korunmayan sayısı sonsuz web server’a upload etmek mümkündür. İstendikten sonra, Phishing Web siteleri için evdeki PC ler bile ana kaynak olabilir., hedeflerin illa bankalar, kuruluşlar veya akademik sistemler olması gerekli değildir.
Phisher, çok iyi bilinen bir markanın web sitesini, faker bir şekilde hazırladıktan sonra, iş, fake siteyi, kurbana gerçek site olarak yedirmeye kalır. Hacker, sözkonusu web sitenin DNS lerini ( DNS POISONING diye tabir edilen işlem ) değiştirmediği muddetçe veya network trafigiyle oynayamadığı muddetce, yapabileceği tek şey, hazırlamış olduğu fake in içeriğinin kurbanı ikna etmesi olacaktır. Hazırlanmış Fake Web Sitesi NE KADAR KALİTELİYSE, bu Web Sisi NE KADAR ÇOK INTERNET’e atılmıssa, kurbanların bu fake web sitesine girme olasıkları o kadar yüksektir.
Maalesef burada saldırıyı yapan kişinin şanssız olduğu noktalar mevcuttur. Banka veya tanınmış bir ürün web sitesini hedeflediğinde, sözkonusu fake web sitesinin reklamını yapacağı platformlar kısıtlı olup, ( bu bir chat odası olabilir, forumlar olabilir, ber web sitenin teknik bölümü olabilir ) bu siteye kimin giriş yapmakta olduğunu tahmin etmesi imkansızdır. Ayrıca, fake web sitesi yapılmış şirketin gerçek kullanıcılarına bu sitenin varlığının rapor edilmesi veya keşfedilmesi olasılığı genel olarak çok yüksek olur. Bunun sonucu ise genel olarak, gerekli önemlerin alınması, kullanıcıların uyarılması ve bu web sitesinin, sözkonusu fake web siteyi kapattırması ile son bulur. Bu sebeplerden dolayı, phisher’lar minimum riskle, maximum potansiyel kullanıcıya en kısa sürede erişmeyi amaçlamaktadırlar ve bu sorunla en çok Spam E mail kullanarak üstesinden gelirler.
Spamcilerin ellerinde, aktif olan milyonlarca mailleri barından veritabanları mevcuttur. Bu yüzden fisherlar, spammer’ların ellerindeki veri tabanlarınanı kullanarak minimum riskle maksimum kullanıcıya ulaşmayı hedeflerler. Spam e mailler genellikle, yabancı ülkelerdeki sunucular veya Zombie PC ( BOTNETLER )’lerin global ağları vasıtasıyla yollanır. Dolayısıyla e maili yollayan kullanıcın takip edilmesi bir hayli zordur.
Resmi bir web sitesinden gelmiş gibi bir e mail alan bilgisiz kullanıcılar, sözkonusu e maillerin gerçekliğini kontrol etmeden, özellikle aldıkları diğer ürünlerle ilgili Spam e mailleri es geçip, bu fake web sitelerine düşünmeden girmektedirler. Bunun yanısıra, iyi bir phisher kurbanı aldatmak için, daha gelişmiş teknikler kullanabilir. Şöyle ki :
Phisherlar, domain isimleri yerine, fake web sitelerine yönlendiren, ip adresleri kullanabilirler. Birçok kullanıcı bu IP adresinin kayıtlı olup olmadığını ya da sözkonusu şirkete ait bir ip adresi olup olmadığını kontrol etmez veya etmeyi de bilmez.
Phisherlar, fake web sitelerini hazırlarken, gerçek web sitesinin domain ismine çok yakın adresler kullanabilirler. Örnek olarak, bigbank.com yerine bgbank.com kullanırlar. Çoğu kullanıcı bunu farketmeyebilir.
Phiserlar, kullandıkları fake mailin içine, sözkonusu şirketin gerçek linklerini kendi fake linkleri ile karıştırıp verebilirler. Böylelikle kullanılan tarayacıların çoğu sözkonusu gerçek linklere giderken, az bir bölümü de fake web sitesine yönlendirilebilir. Eger, kullanıcının e mail client’ının auto rendering özelliği açıksa, e mail açılır açılmaz, bu sitelere yönlendirme yapılabilir.
Fake web sitesinin URL adresi, phisher tarafından encode edilebilir. Kullanılan encode metoduna göre değişiklik gösteren bu yolla, kullanıcılar gördükleri web linki ile linkin gittiği adresin farklı olduğunu anlayamazlar. Bu tekniklerden biri de IDN spoofingdir ve unicode URL adreslerini kullanır. Bu unicode adresler de, tarayacılar tarafından orijiinal web sayfası olarak algılanabilir.
Phisher’lar, kurbanın tarayıcısına sözkonusu mesajla ilgili bir açıktan faydalanarak exploit yapabilirler. Microsoft Internet Explorer’ın ve Outlook uygulamalarının bu şekilde binlerce açığı mevcuttur. ( Adress Bar Spoofing )
Başka bir metod, kullanıcıyı önce fake web sitesine sokar, password unu ve kullanıcı ismini kayıt altına log olarak alıp, sonra kullanıcıyı tekrar orijinal web sitesine yönlendirir. Böylece kurban, bir hata mesajı ile karşılaştığını sanıp, tekrar linke tıkladığında kendini, gerçek web sitesinde bulduğu için asla şüphelenmez.
Başka bir metod, phisher, web sitesini gerçek sitenin proxy si olarak ayarlayabilir. SSL kullanarak sifrelenmemis log credentiallarını kullanabilir. ( bazı geçerli SSL sertifikalarını bile spoof domainler için kullanabilir. )
Başka bir metod, kullanıcıyı web sitesine yönlendirip, Browser Helper Object gibi zararlı bir kodu, Internet Explorer a bulaştırabilir. Eğer hacker başarılı olursa, kurban, fake web sitesini ziyaret ederken, kendini gerçek siteyi ziyaret ettiğini sanar.
Yine benzeri şekilde, kurbanın PC si icindeki host dosyalarını yönetmek için çeşitli zararlı kodlar kullanılabilir. Bu kodlarlarla DNS isimleri ile IP adresleri arasındaki local mapping sistemleri idare edilebilir. Kullanıcının host dosyasının içine, faker bir DNS girişi eklenerek, onun gerçek sayfada olduğu izlenimi uyandırılabilir.
Bütün bu karışık metodlar, ve sonu gelmez yollarla, online bankacılık veya e ticaret sitelerini kullanan kullanıcı, hangi sayfaların gerçek hangi sayfaların sahte olduğunu güçlükle ayırt edebilir. Bu şekilde hacker tüm bilgileri elde edebilir
saol güzel paylaşım ama 1 saatimi aldı okuması bunun kısa olan bi yöntentemi var sa 
