Düşünüyorum! Biraz tarihçe.. Maalesef yanılıyorsunuz.

Transkript

1 Parolamın Güvenli Düşünüyorum! Olduğunu Maalesef yanılıyorsunuz yılları arasında edindiğiniz bilgiler, 8 karakter uzunluğunda ve rastgele büyük harf, küçük harf, rakam ve sembol içeren bir parolanın standart bilgisayar sistemlerinde deneme-yanılma (brute-force) ataklarıyla kırılmasının uzun yıllar aldığını söylüyordu. Bu denklemi bozan ve mevcut bilgilerimizi gözden geçirmemizi gerektiren değişim şu ki, şimdilerde görece düşük maliyetle sahip olunabilecek veya kiralanabilecek bir son kullanıcı sistemiyle bu süreler 6 saat gibi sürelere inmiş durumda! Bu yazımızda konunun şu anki vahim boyutunun detaylarına değinecek ve güvenli parola kullanımı için hem yazılım geliştiricilere hem de son kullanıcılara yönelik tavsiyelerde bulunacağız. Biraz tarihçe.. Asıl konumuza gelmeden önce kriptolojinin (şifre bilimi) tarihçesine şöyle göz ucuyla bir bakalım.ilk şifrelemenin izlerine binlerce yıl önce Mısır uygarlığında rastlanmıştır. Sonrasında Yunan ve Roma medeniyetlerinde kullanılmış olup askeri alandaki bilinen ilk kullanımının da Sparta lılara ait olduğu düşünülmektedir. Geliştirilen ilk yöntemlerin günümüzden bakınca bir miktar eğlenceli olduğunu söyleyebiliriz. Örneğin bunlardan birinde şifreli bir mesaj taşınması istendiğinde taşıyıcı kişinin saçları kesiliyor, mesaj kafasına yazılıp saçların uzaması bekleniyor ve sonra karşı tarafa gittiğinde de saçlar tekrar kesilmek suretiyle mesaja ulaşılıyormuş. Tarihte biraz ilerlediğimizde önemli duraklardan biri olan

2 Sezar Şifrelemesine ( ulaşırız. Daha yakınlara, 1900 lü yılların başına geldiğimizde ise karşımıza Gilbert Vernam ın doğru kullanıldığında kırılması neredeyse imkansız olan meşhur tek kullanımlık şerit yöntemi çıkar ( Birinci dünya savaşında şifrelemenin önemi ortaya çıkınca sonrasındaki ikinci dünya savaşı ile birlikte şifreleme ve geri çözme metodolojileri alanında da tam bir savaş verildiği söylenebilir. Enigma şifreleme makinesinin kodlarının çözülmesinin ( savaşın kaderinin belirlenmesinde büyük rol oynadığı bugün artık bir sır değil. Özellikle ikinci dünya savaşı yıllarında şifreleme ve şifre çözme alanındaki yoğun çalışmalar aynı zamanda günümüzdeki bilgisayar bilimlerinin sağlamıştır. Parolalarımız saklanıyor? de temellerinin sistemlerde atılmasını nasıl Kullanıcı parolaları dosya veya veritabanlarında açık hali ile saklanmaz. Parolaların tutulduğu veritabanı bir şekilde ele geçirilse dahi, açık hallerine değil, her bir parolanın şifrelenmiş (encrypted) haline ulaşılmış olur.parola şifreleme işleminde genellikle simetrik algoritmalar kullanılmaz, dolayısıyla şifreden yola çıkarak parolanın açık haline ulaşmanız mümkün değildir. Parolalar hash algoritmaları ile şifrelenir ve bir hash değeri üretilir. Eğer şifre veritabanı ele geçirilmişse buradan geriye doğru parolaya ulaşılamaz ama teorik olarak tüm parola kombinasyonları aynı hash algoritmasından geçirilerek elde edilen sonuçla karşılaştırma yapıldığında aynı değeri üretiyorsa, parolanın açık halinin ne olduğu bulunmuş olur.deneme yanılma olarak özetlenebilecek bu saldırı biçimi

3 genel olarak brute-force atak şeklinde adlandırılır li yılların başında popüler hashing algoritmalarından MD5, NTLM, SHA1 vb. ele alındığında 8 karakterli parolalar için tüm kombinasyonların denenmesi yüzlerce yıl almaktaydı. Elbette , admin, password, qwe123, isim ve doğum tarihi kombinasyonları gibi belirli bir çok kullanılanlar sözlüğü ve size özel bazı kombinasyonlardan oluşan bir parolanız varsa, akılcı yaklaşımlarla yüzlerce yıl beklenmesine gerek kalmaksızın bir kaç dakikada parolanız ortaya çıkacaktır. Ancak parolanızda bu şekilde tahmin edilebilir bir desen yoksa, deneme yanılma süreci çok uzun sürdüğünden parolanızın yeterince güvenilir olduğunu varsayabilirsiniz. Sistem yöneticisi iseniz, sisteminizdeki hash lenmiş halde tutulan parolaları periyodik olarak John The Ripper (man john) vb. bir uygulama ile yukarıda bahsettiğimiz öntanımlı senaryolara karşı kontrol etmeniz ve zayıf parola kullanımı tespit edilen kullanıcıları bilgilendirmeniz iyi bir pratik olacaktır. Peki şimdi ne değişti? Zaman içerisinde grafik işlemcilerin (GPU) paralel veri işleme yetenekleri oldukça gelişti. Bugün bazı Nvidia Tesla modellerinde CUDA mimarisinde 2880 çekirdekli bir GPU işlemci bulunmaktadır ( Benzer şekilde ATI (AMD) GPU çekirdek sayıları ve paralel işleme yetenekleri de ciddi performans açılımları sunmaktadır.gpu lar genel amaçlı bir işlemci değildir, dolayısıyla bu kadar çok çekirdek ve paralel işleme gücü olmasına rağmen, CPU gibi hemen her problem için kullanılması anlamlı değildir. Ancak parolalar için kullanılan hash algoritmalarının özellikle bazıları- GPU veya FPGA üzerinde oldukça verimli bir şekilde gerçeklenebilmektedir. Geleneksel CPU lar ile elde

4 edilebilen saniyedeki hesaplanabilen hash adedi, yeni GPU platformlarında olağanüstü biçimde artış göstermektedir.aşağıda Linux tabanlı Virtual OpenCL platformu üzerinde 25 adet AMD Radeon GPU dan oluşan bir cluster sistemi görmektesiniz. Böyle bir sistem artık çok uygun rakamlara elde edilebilmektedir. Ayrıca dilerseniz Amazon gibi bir platformdan hazır GPU sunucu kümelerini kiralamanız da mümkündür: Yukarıda görülen sistemin Windows 2003 ve sonrasında kullanılan NTLM, Unix/Linux sistemlerde kullanılan MD5 ve SHA1 hashing algoritmaları karşısında saniyede hesaplayabildiği hash değeri sayıları aşağıda verilmiştir: Algoritma Saniyedeki Hashing Sayısı NTLM MD SHA SHA512Crypt Bcrypt

5 Algoritma Saniyedeki Hashing Sayısı Scrypt Görüldüğü üzere böyle bir sistem ile saniyede 350 milyar defa NTLM hash üretimi yapılabilmektedir. Bu da 8 karakterli tüm kombinasyonların 6 saatten az bir süre içerisinde denenebileceğini ifade etmektedir. Ugh! Bunlar yetmezmiş gibi Windows kullanıcıları için bir kötü haberimiz daha var. Vista öncesinde (2007) Windows sistemlerinde yoğun olarak LM hash yöntemi (Lan Manager Hash: kullanılmaktaydı. Hatta 2007 sonrasında da mevcut sistemlerde geriye doğru uyumluluk nedeniyle çoğunlukla kullanılmaya devam etmiştir (Microsoft kullanılmasını önermese de kaç Windows Ağ Yöneticisi koca bir sistemdeki bütün parolaların artık çalışmamaya başlamasını göze alıp bu geçişi yapabilmiştir ki..). LM hash algoritması ile ilgili tasarım nedeniyle bu parolaların kırılması için GPU ya bile ihtiyacınız yoktur. Eğer 50 GB dan büyük kullanılabilir belleğiniz varsa, tüm olası kombinasyonları iyi bir veri modeli ile bellekte saklamak ve ortalama üstü bir CPU kullanmak suretiyle bir kaç dakika içerisinde parolaya ulaşmak mümkündür! Microsoft un konu ile ilgili açıklamalarına da buradan erişebilirsiniz: c aspx Yazılım geliştiriciler ne yapmalı? Aslında yapılacak şey basit, parolaları şifrelerken hash değeri hesaplanması daha uzun süren algoritmaları tercih etmeliyiz. Kullandığımız algoritmanın ise sadece CPU üzerindeki performansı hakkında değil, GPU ve FPGA dünyasına karşı ne kadar dayanıklı olduğuna dair de bilgi edinmeliyiz. Eğer parola şifreleme süreçlerini de adresleyen bir yazılım framework ü kullanıyorsanız, güvenlik açısından framework

6 içerisinde doğru kararların verilmiş olup olmadığını kontrol etmeniz de yerinde olacaktır. Örnek olarak Ruby on Rails platformunda kullanıcı işlemleriyle ilgili sık kullanılan kitaplıklardan biri olan Devise ( içerisinde öntanımlı hash algoritması olarak Bcrypt kullanılmaktadır. Aynı zamanda hash algoritması olarak başka bir yöntem kullanmanıza da olanak vermektedir. Bcrypt algoritmasının kırılması, GPU ve FPGA lar için de halen çok uzun zaman almakta olduğundan güvenilirdir. Bununla birlikte hash sürecinde kullanılan yöntemin doğrudan GPU ve FPGA lar üzerinde gerçeklenmesini zorlaştırmayı temel amaç edinen Scrypt algoritmasını kullanmanız daha da iyi bir seçim olacaktır.özetle hash değeri hesaplaması ne kadar uzun zaman alıyorsa o kadar güvendesiniz demektir. Parola kaç karakterden oluşmalı? Fazladan kullandığınız her karakter, parolanızın kırılması için ihtiyaç duyulan deneme-yanılma sayısını geometrik biçimde artıracak ve parolanızı daha güvenli kılacaktır. Öte yandan sürekli bu parolaları girme zorunluluğu ve parolayı güvenli yapacağım derken başka bir yere not etme ihtiyacı üretmesi nedeniyle tamamen güvensiz hale gelmesi gibi bir duruma da yol açılabilir. Şimdi güvenlik için olması gereken minimum parola uzunluklarına bakalım. Durumu 2 senaryo üzerinden örneklemeye çalışalım. NTLM hash için yukarıdaki 25 GPU lu sistemin biraz daha iyisi ile parola kırma denemesi yapılacağını varsayalım. 8 karakterden az parolaları hiç konuşmaya bile gerek yok, onlar anında bulunacaktır. Burada 8 ve üzerine değineceğiz. Karakter Sayısı 8 Büyük/Küçük Harf ve Rakam < 1 dakika Büyük/Küçük Harf, Rakam ve Özel Sembol 2 dakika

7 Karakter Sayısı Büyük/Küçük Harf ve Rakam Büyük/Küçük Harf, Rakam ve Özel Sembol 9 2 dakika 2 saat 10 2 saat 1 hafta 11 6 gün 2 yıl 12 1 yıl 2 yüzyıl 13 > 100 yıl > 1000 yıl Tablodan hareketle büyük/küçük harf, rakam ve özel sembol kombinasyonunun tümünün kullanıldığı durum için minimum 12 karakter uzunluğunda parola kullanımının güvenli olduğu görünmektedir. Eğer özel sembol kullanmıyorsanız bu durumda güvenli parola uzunluğu olarak 13 karakter kullanmamız gerektiği ortaya çıkmaktadır. Bu sistemde NTLM hash yerine Bcrypt hash yöntemi kullanılmış olsaydı, 8 karakter de işimize yetecekti. Ancak web üzerinden onlarca sisteme girdiğiniz parolaların hangi hash yöntemiyle tutulduğunu (hatta şifreli tutulup tutulmadığını dahi) bilme imkanımız bulunmuyor. Yazılım geliştiricilerin temel açmazı, kullanıcıları minimum 12 karakterlik parolalara ikna etmenin neredeyse imkansız olduğudur. Günümüzde bu uzunluktaki parola kullanım oranının ancak binde bir seviyelerinde olduğunu söyleyebiliriz. Dolayısıyla geliştirilen sistemin kullanım senaryosuna göre parola güvenliği için kullanıcıların da kabul edeceği bir orta yol bulunması gerekecektir. Geliştiriciler için son bir notumuz da şudur ki, kullanıcıya parolasını girmesi için sunmuş olduğunuz formlar üzerinden gelen girdilerin sadece minimum uzunluğunu değil, maksimum uzunluğunu da kontrol etmeniz oldukça önemlidir. Özellikle güvenlik amacıyla Bcrypt gibi hesaplanması yavaş olan bir hash algoritmasının kullanımını devreye aldığınızda, kullanıcının girdiği parolanın maksimum uzunluğunu kontrol etmiyorsanız, özel hazırlanmış bazı isteklerle aynı anda karakterlik onlarca parola denemesi yapılması suretiyle bir saldırı gerçekleştirilecek olursa, sisteminizin geri kalan

8 kullanıcılara yanıt veremez hale gelmesi kuvvetle muhtemeldir. Son kullanıcılara tavsiyeler Peki kullanıcı olarak ne yapmalıyız diye soranlar için de şu tavsiyelerde bulunabiliriz: Parola uzunluğunuz minimum 12 karakter olmalıdır Parola içerisinde mutlaka büyük/küçük harf kombinasyonu, rakam ve sembol bulunmalıdır Tüm bu varyasyonlarla ürettiğiniz 12 karakterli parolayı hatırlamakta zorlanacak iseniz, daha kolay hatırladığınız bir parolanın başına, sonuna veya her iki tarafına belirli bir deseni ekleyerek de güvenliği karakter uzunluğu isterini yakalayabilirsiniz. Örneğin 8 karakterli parolanızın sonunda 4 adet de nokta karakteri ekleyebilirsiniz. Ya da başına 2 virgül sonuna 2 nokta ekleyerek de 12 ye tamamlayabilirsiniz. Burada tamamlama için kullandığınız desenin biraz kendinize özgü olmasında fayda vardır, herkes nokta ekleyecek olursa bu da genel bir desene dönüşür. Bir web sitesinde yeni kullanıcı kaydı oluşturmanız gerektiğinde, eğer ilgili site Facebook, Google vb. sistemler üzerinden giriş yapmanıza izin veriyorsa, yeni kullanıcı açmak yerine bu şekilde giriş yapmayı tercih edin. Bu modelde parolanızın şifrelenmiş hali dahi ilgili siteye verilmemiş olacaktır. Çoğunlukla bir çok sistemde aynı parolaları kullandığınızı düşünecek olursanız, ne kadar az sisteme parolanızı giriyor olursanız o kadar güvende olduğunuzu söyleyebiliriz. Bitirirken.. Buraya kadar sabırla okumayı başarabildi iseniz artık ne yapmanız gerektiğini biliyorsunuz; şimdi gidip minimum 12 karakter uzunluğunda olacak yeni parolanızı bulma zamanı

9 Desteğinden Hocamıza Dolayı Murat Demirten Teşekkür Ediyoruz HTTP Proxy Tunnel üzerinden SSH Vekil sunucu üzerinden kurum ağı dışarısında 443/TCP portu üzerinden hizmet veren SSH (Secure Shell) sunucusuna bağlantı sağlanmakta ve bu gerçekleştirilen bağlantı üzerinden içerik filtreleme sistemleri tarafından belirlenen internet erişim politikaları aşılabilmektedir. Bunun için aşağıda belirlenen komut girilmektedir. # ssh -D l kullanıcı_adı -p 443 Belirtilen komut ile SSH sunucu sistemine bağlantı

10 gerçekleştirilmiş ve yerel kullanıcı bilgisayarında 8080/TCP portu üzerinde çalışmakta olan süreç başlamıştır. # netstat -nlput Aktif internet bağlantıları ( sadece sunucular ) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp : :* LISTEN 2199/ssh Bu işlemin ardından kullanıcı tarafı tarayıcı yapılandırması aşağıdaki şekilde gerçekleştirilir > Bu adımların ardından internet tarayıcısı ile istenilen adreslere erişim SSH sunucu üzerinden gerçekleştirilmekte ve içerik filtreleme sistemi atlatılabilmektedir. SSH sunucu ile bağlantının zaman aşımı nedeniyle kopmaması için sunucu tarafındaki sshd_config dosyası içine > ClientAliveInterval 30 ClientAliveCountMax 4 İstemci tarafindaki ssh_config dosyasının içine de > ServerAliveInterval 30 ServerAliveCountMax 4 yazılmalıdır.

11 APT Mantığı ve Aşamaları Geçmiş yıllarda virüs olarak tanımladığımız dosyalar eğlence ve şaka (mesaj gösterme) amacıyla ortaya çıkmışlardır. Ancak günümüzde artık zararlı dosyalar finansal destekli bilgi çalma ve zarar verme amaçlıdır. Virüs olarak alışageldiğimiz genel tanım bu yüzden artık yerini Malware genel adına bırakmıştır, bırakmalıdır. Stuxnet bugüne kadar karşılaşılmış, maddi olarak en çok zarar veren Malware dir. Öyle ki İran ın nükleer faaliyetlerine zarar vermekle kalmamış, yapılan onca emeği hiçe sayarak teknolojiyi senelerce geriye götürmüştür. Günümüzde klasik araçlar (Firewall, IPS, Antivirus, Antispam) ile kurumların ya da şirketlerin güvenlik segmentleri oluşturulmakta ve yine dünya ile doğru orantıda işleyen mekanizmalar sayesinde kurum/şirket için oluşabilecek tehditlerin önüne bu sayede geçilmektedir. APT ( Advanced Persistent Threat ) olarak adlandırılan karmaşık, tabiri caizse inatçı ve kalıcı tehditler ise klasik araçlar tarafından önlenmesi mümkün olmayan saldırılardır. Normal şartlar altında şirket veya kurumların tasarımlarını gerçekleştirmiş oldukları ve güvenlik segmentinde konumlandırdıkları Firewall, IPS, Antispam, Antivirus gibi güvenlik yazılım ya da cihazlarının yakalayamayacağı küçük bir oran bulunmaktadır. Bu oran küçük gibi görünse de güvenlik bakımından değer ve risk bazında en önemli alanı kapsamaktadır. Çünkü APT saldırıları tamamen hedefe yönelik yıkıcı sonuçlar amacıyla tasarlanmaktadır. Bu nedenle günümüzün en etkili siber saldırıları APT ler ile gerçekleştirilmektedir. APT ler vasıtasıyla kurum bilgilerini ele geçirmek, kurumu zarara uğratmak ve istihbarat toplama gibi amaçlar güdülmektedir.

12 Bilginin gücü ve önemi Dünyadaki bilginin büyüklüğü ve önemi düşünüldüğünde zararlı yazılımların bu bilgiyi (ç)almaya yönelik olmaması düşünülemez. APT ler hedefine yönelik, özel olarak tasarlanmaktadır. Hedefine özel olduğu için de genel olarak daha önce görülmemiş şekilde ortaya çıkarlar. Bazı ücretsiz basit araçlarla oluşturulabileceği gibi çeşitli aşamaları olan ve finansal desteği devletler tarafından sağlanmış şekilde özel laboratuvarlarda hazırlanabilmektedir. Özellikle özel sektör; fikri mülkiyet hakları yüzünden APT hedefi olmaktan korkar hale gelmiştir. malware.binary tanımı Bu terim FireEye firması tarafından literatüre kazandırılmıştır. Herhangi bir şekilde; , dosya transferi ya da web üzerinden gelen daha önce görülmemiş zararlı dosyalara verilen isimdir. Tespit edildiği sistem üzerinde, tamamen hedefi üzerinde amacına yönelik olarak tasarlanmış olan tiplerine rastlanmaktadır. Örneğin; kodlayanı tarafından kuruma özel bir proxy adresi girilmiş ve bu şekilde kurum bilgileri saldırganın yönetim (C&C-Komuta Kontrol) sunucusuna doğru sızdırılıyor olabilir. Ya da yine kurumdan çıkan bilgilerin hangi kuruma ait olduğu; bir dizi özel komut ile gerçekleştirebilir. Bu şekilde saldırgan bilginin hangi kurumdan geldiğini anlayacaktır. APT tanımı: Uzun süreli, gizli, fark edilmeden, hedefi üzerinden yetkisiz bir şekilde, çeşitli hassas bilgileri ele geçiren zararlı yazılımlara verilen genel addır. Hedefi: Önemli kişiler, kurumsal organizasyonlar ve devletler firmalar, büyük Amacı: Hedef sistem üzerine farkedilmeden sızmak ve hedefi üzerinde olabildiğince uzun süre kalarak, temelde amacına yönelik hassas bilgileri kaynağına iletmek

13 PoisonIvy veya GhostRAT gibi ücretsiz Remote Administrator Araçlar (RAT) vasıtasıyla zararlı yazılımlar APTler haline dönüştürülmektedir. APT Aşamaları

14 APT nin hedefine yerleştirme aşamasında çeşitli aşamalar

15 mevcuttur. Keşif (bilgi toplama), kimlik hırsızlığı, verileri çalma, kalıcı olma bunlardan bazılarıdır. Her APT de her aşama gerçekleşmeyebilir veya aşamalar sırasıyla işlemeyebilir. En başta zararlı yazılım hedef network içine yerleştirilir. Bu yerleştirmeden sonra tüm aşamalarda zararlı yazılım bağlantıyı koparmamak adına kalıcı olma aşamasındaki uyguladığı tüm adımları her aşamada uygulayabilir. 1. Keşif/Bilgi Toplama Hedefe yönelik olarak açık kaynak araştırması gerçekleştirilir. Sosyal medya ve çeşitli anahtar kelimeler ile kurumsal linkler araştırma kaynağı olabilir. Kuruma ait eposta ya da anlık mesajlaşma adresleri veya iletişim bilgileri kullanılabilir. Genel olarak hedef kurum çalışanlara yönelik bir bilgi toplama faaliyetidir. LinkedIn gibi kurumsal hesapların yanında şahısların Facebook hesaplarından ilgi alanları keşfedilir, üzerine sosyal mühendislik araçları kullanılabilir. Bir kişi hakkında önemsiz gibi görünen ilgi alanı-hobi aynı kişiye karşı kullanılan bir siber saldırı aracı (siber-silah) haline gelebilir. Keşif aşamasının süresi hedef kurum ya da organizasyonun dış dünyadan ne kadar izole olduğu ile alakalıdır. Kolayca ulaşılabilen hedefler üzerine bilgi toplama aşaması ortalama 1-2 gün sürer. Ancak zorlukla ulaşılan yerler ile alakalı fiziki olarak da araştırılma yapılması gereklidir. Buna tarz yerler için bilgi toplama aşaması 6 ay-1 sene arasında değişebilir. O nedenle bilgi toplamanın ortalama süresi kesinlikle değişkendir diyebiliriz. 2. İzinsiz Girme/İhlal Saldırganın kurum içerisine girme yolunda uğraş verdiği çok çeşitli yollar bulunmaktadır. Günümüzde en çok tercih edilen yol Spear Phishing adı verilen hedef odaklı oltalama saldırılarıdır. Saldırgan kurum içerisindeki hedefini; keşif aşamasında toplamış olduğu veri doğrultusunda belirler.

16 Bu kritik konumda çalışan birisi (IT departmanı) ya da basit bir kurum çalışanı da olabilir. Özellikle Domain Admin ayrıcalığı olanlar tercih sebebidir. Bu aşamada hedefe üzerinde oynama yapılmış ve exploit barındıran pdf ya da bir word dosyası gönderilir. Ya da duruma göre bu mail içerisinde bir link (URL) de olabilir. Saldırgan deep web üzerinde satın almış olduğu yazılım aracını bu aşamada kendi amaçları doğrultusunda (komuta merkezi sunucusunu belirlemek gibi) kullanabilir. Ayrıca bu aşamada tercih edilen saldırı yöntemlerinden birisi Watering Hole saldırılarıdır.bu yöntemde saldırganın hedefindeki kurum tarafından yoğun olarak kullanılan bir Web sayfasına sızılarak içerisine exploit bırakılır. Örnek olarak ünlü bir alışveriş sitesinin içerisinde exploit gömüldüğünü düşünün. Bu siteyi kullanan tüm kurum çalışanları exploitten etkilenecektir. Bilgisayardaki zafiyet durumuna göre bu exploit hedefine erişim sağlayacaktır. Watering Hole saldırı yöntemi 2012 yılında RSA Security tarafından ortaya çıkartılmıştır. Saldırgan hedefindeki kurum, organizasyon ya da endüstri şirketi bilgisayar ağlarına; çalışanlarının tercih etmiş olduğu web-sayfaları içerisine yerleştirilen zararlı yazılım(lar) vasıtasıyla giriş yapar. Kaynak: 3. Bulaşma/Enfeksiyon Bulaşma evresinde (exploit edilen) erişim sağlanan hedef bilgisayarında saldırganın işlem yapması (zararlı bulaştırması ve aktif hale getirmesi) gerekmektedir. Bu, esas amacı esas zararlı dosyayı aktif hale getirecek tetikleme (dropper ya da downloader) mekanizmasının hedefe bırakılmasıyla gerçekleşir. Bu işlemde kullanılan koda Payload adı verilir. Payload kodu hedef bilgisayar üzerinde çalıştırıldığında; saldırgan artık amacına yönelik bilgileri almaya başlamış

17 olacaktır. Genel olarak bulaşma evresi çok sade bir arkakapıya (backdoor) çok basit bir zararlı dosyanın bırakılmasıyla başlar. Bu küçük, basit dosyalar Antivirüs yazılımına yakalanmadan işlem görürler. Bir kaç dakika içinde saldırgan Payload aşaması ile zararlı yazılımını hedefi üzerinde çalıştıracaktır ki bu zararlı dosya da imza veritabanı motoru kullanan Antivirüs yazılımlarına yakalanmayacaktır. Bu aşamada kurumlarda dışarıdan gelen dosyaların (verinin) hedefine ulaşmadan önce sanal veya motor ortamlarda çalıştırılarak neler yaptığının bilinmesi ve buna yönelik ürün tercihi tavsiye niteliğindedir. İhlal ve bulaşma aşamalarının süreleri birlikte değerlendirilebilir. Bu aşamalarda işlemler hedef ağının ve sistemlerinin hızına bağlıdır. Ortalama 1-2 dakika içerisinde ihlal ve bulaşma evreleri tamamlanmış olur. 4. Kimlik/Yetki Hırsızlığı APT evrelerinde bulaşma evresinden sonraki evre Kimlik Hırsız lığı evresidir. Bu evre her APT de olmayabilir. Zira her aşamanın gerçekleşmeyebileceğini ya olmayabileceğini daha önce söylemiştik. da sırasıyla Saldırganların kurum networkleri üzerinde kimlik/yetki hırsızlığına gitmesinin sebebi kurum içinde kalıcı olarak daha fazla veri elde etme amacından kaynaklanmaktadır. Bu aşamada saldırgan, , Active Directory veya FTP kullanıcıların yetkilerini zararlı yazılımı vasıtasıyla ele geçirir. Bu yetkiler sayesinde kurum içerisinde daha derine inilerek esas ulaşılması istenen veriye ulaşılma amacı güdülür. Ayrıca saldırganlar özellikle AD yapıları içerisindeki Domain Admin veya Local Admin gibi ayrıcalıklı yetkilerdeki kullanıcılara karşı, kurum networkü üzerinde rahatça at koşturabilecekleri için daha çok ilgi duyarlar. Bu aşamanın süresi yüksek düzeyde saldırganın kapasitesine ve

18 hedef yetki düzeyinin ne kadar güvenli olarak korunduğuna bağlıdır. Ancak ortalama 1-2 hafta içerisinde saldırgan amacına ulaşabilir diyebiliriz. 5. Yatay Yayılma Saldırgan bu aşamada bir önceki aşamada ele geçirmiş olduğu kurum içinde herhangi bir kullanıcı yetkisi, dosya paylaşımı sunucusu veya e-posta adresi gibi araçları kullanarak iç ağda yayılma yoluna gider. İç networkte zafiyeti bulunan ulaşılan ve zararlı yazılım bulaştırılan çeşitli diğer hedefler de saldırgana yatayda yayılma kolaylığı sağlar. Her bir son kullanıcıda ele geçirilen veri değerlendirilir. Yine aynı şekilde zararlı yazılımların bulaştırıldığı son kullanıcıların sayısı arttıkça zararlı yazılımın o network içinde kalıcılığı artar. Yatayda yayılma; saldırganın hedef network içerisindeki iz (log) sayısını artırsa da aynı zamanda bırakmış olduğu izleri silme olasılığını yükseltme fırsatı sunar. ( Geride delil bırakmama imkanının artması) Saldırgan izini nasıl temizler? Yatay yayılma saldırgana kendi yapmış olduğu ihlal eylemlerini silme imkanı sunabilir. Örneğin sızılan kurum ağı içerisinde çeşitli zararlı faaliyetlerini gerçekleştirdikten sonra yatayda yayılarak log sistemlerinin veya sunucularının bulunduğu ortamlar da ele geçirilirse, saldırgan geride herhangi bir delil bırakmamak için kendi yapmış olduğu log kayıtlarını veya diğer izleri silebilir. Bu nedenle kurumların merkezi log kayıt sistemlerini logların herhangi bir şekilde silinemediği ürünler içerisinden seçmeleri önemlidir. Yatay yayılmada ana hedef daha fazla verinin ele geçirilmesidir. Bu aşamada herhangi bir tetikleme mekanizmasına ihtiyaç duymadan kendi kendine kopyalama ve çoğalma özelliği olan WORM ler kullanılabilir. Worm ler sayesinde kurum içerisinde ulaşılabilinen her bilgisayara

19 zararlı yazılım bulaştırılabilir. Daha fazla hedefe yayılma da APT nin kalıcılığını yüksek seviyeye çıkartır. Her APT yatayda yayılma hedefi gözetmez. Network içerisine sızdırılan zararlı yazılım faaliyetini gerçekleştirirken başka hedeflere bulaşmadan da misyonunu tamamlayabilir. Yatay yayılma aşamasında WORM ler sistemlere bağlı olarak saniyeler içerisinde bulaştırılabilir ancak logların temizlenmesi veya hedef sistemlere saldırganın ulaşması kısmı uzun sürecek işlemlerdir. Ortalama 3-6 ay arasında saldırgan tüm sistemde etkin hale gelebilir. 6. Bilgi Süzme/Çalma APT nin temel amacı hedefindeki bilgilerin ele geçirilmesidir. Bu aşamada saldırganlar peşinde oldukları veriye ulaşmaya/çalmaya çalışır. Saldırganın pek çok amacı/sebebi olabilir. Bunlardan bazıları; kuruma/organizasyona zarar verme, devlet casusluk faaliyetleri, endüstri casusluğu, finans kaynaklı kurum müşteri bilgileri gibi kritik bilgilerin ele geçirilmesi gibi. Bu aşamada kurumun kullandığı geleneksel güvenlik çözümleri yetersiz kalmaktadır. Çünkü genelde kurumlar dışarıdan içeriye gelen verilerin kontrollerini yaparak bunlara göre önlem alırlar, oysa kurumdan çıkan verinin (callback) risk bakımından önemi daha yüksektir. Zararlı yazılım (APT) callback işlemi ile komuta kontrol (C&C) sunucusu adı verilen saldırgana ait sisteme verileri gönderebilir. APT ler genel manada HTTP gibi sıradan portlar yerine farklı iletişim protokolleri ile iletişim sağlarlar. Ayrıca örnekleri göstermektedir ki, saldırganlar SSL den farklı, daha güçlü, kırılması zor şifreleme metotları kullanmaktadır. APT Callback nedir? Zararlı dosya(lar)ın hedefi üzerinde çeşitli aşamalardan sonra bilgisayar adı gibi sistemsel bilgileri saldırgana ait

20 bir kaynağa (C&C sunucusu gibi) göndermesi işlemidir. Saldırganlar bazı kurumlarda Firewall da rahat hareket edebilmek için HTTP protokolü ile verileri göndermeyi tercih ederler. Ayrıca veriler; APT nin komuta kontrol merkezi haricinde Google Drive, Dropbox gibi dosya paylaşım hizmetinden, herhangi bir FTP sunucusundan ya da e-posta gönderilerek çıkabilir. 7.Kalıcı Olma APT nin son evresi hedefinde kalıcı olma evresidir. Kalıcı olmayı sağlamak için saldırgan; Varlığını sürdürebilmek için stratejik konumdaki bilgisayarları kullanır Kurumun mesai saatleri dışındaki saatlerde işlemlerini gerçekleştirir Zararlı dosyalar üzerinde sürekli olarak güncelleme yapar ki bu sayede AV lere yakalanmaz Kurum ağından kopma/koparılma halinde vakit kaybetmeden tekrar içeriye giriş yapabilmek için olarak yetki hırsızlığına devam eder. sürekli Saldırganın özellikle mesai saatlerinin dışını tercih etmesinin sebebi kurum çalışanlarının mesai saatleri içerisinde daha dikkatli olma potansiyelinden kaynaklanmaktadır. Saldırgan hedef ağ içerisinde kalıcı olmayı garantilediğinde işlemlerini sürekli olarak güncelleme gereği duyar. Bunun sebebi kullanmakta olduğu bir aracı ya da yazılımı; kurum içindeki güvenlik sistemi tespit edebilir veya tehdit olarak algılayabilir. Örneğin ufak bir imza değişikliği ile zararlı dosya AV sistemlerine yakalanmayacaktır. Bilgi Süzme/Çalma ve Kalıcı Olma evrelerindeki süre birlikte değerlendirilebilir. Çünkü bilginin süzülmesi ile APT temel amacına ulaşmış olacak artık yakalanma ve tespit edilme süresine kadar hedef sistemi üzerinde kalıcı olacaktır. Daha

21 önceki örnekler göstermektedir ki hedef sistemde ortalama kalma süresi 200 gündür. Bunun için 6 ay ile 2 sene arasında bir rakam verilebilir. En meşhur APT örnekleri: Stuxnet, Flame, Aurora KONUK YAZAR : MEHMET KUTLU DURMUŞ DESTEĞİNDEN DOLAYI TEŞEKKÜR EDİYORUZ. & Polimorfik Virüsler Öncelikle sözlük anlamı bakımından polimorfik nedir? Buna bakalım. Çok biçimli, çeşitli veya pek çok formu olan, gelişimin farklı evrelerinde farklı formlarda (varyantlarda) görülen. Polimorfik virüsler de aynen sözlük anlamı gibi bilgisayarlar üzerinde çok biçimlilik gösteren, kendisini farklı varyantlar üzerinde kopyalamak suretiyle tespit mekanizmalarına (Antivirüs veya kullanıcılar) yakalanmama amacı güden virüslerdir. Kopyalamış olduğu varyantları imza (md5 hash) değişikliğine gider. Aynı zamanda dosya içerisine karışık ve şifreli veriler (kodlar) ekler. Antivirüs veritabanı nedir? Dünyada genel geçer şekilde dosyaların zararlı olup olmadığı; dosyaların md5 hash lerine bakılarak kontrol edilir. Her bir antivirüs programının kendisine ait imza veritabanı bulunur. Bu veritabanındaki md5 hash değerleri ile şüpheli dosyanın

22 hash değeri karşılaştırılır ve dosyanın malware olup olmadığına karar verilir. Daha sonra karantinaya mı alınsın? Silinsin mi? gibi programın özelliğine göre aksiyon alınır. Tek bir polimorfik virüsün yüzlerce ve binlerce varyantı olabilir. Bu şekilde sadece dosya imzası kontrolü yapan Antivirüs programlarınca yakalanmaz. Antivirüs geliştiricilerinin zararlı dosyaları yakalayabilmek için çeşitli farklı yollara bu yüzden başvurmaktadırlar. En iyi AV bile polimorfik virüsler ile başa çıkamayabilir. Heuristic Detection ( Sezgisel Algılama ) metodu ile Antivirüs firmaları zararlı dosyaların farklı türevlerini davranış biçimlerine bakarak tespit edebilmektedir. Heuristic Detection nedir? Dosyaların imza karşılaştırılması haricinde sezgisel algılama metodu uygulanmaktadır. Bu metot ile özel formül ve prosedürler uygulanarak dosyanın içerisinde bulunan kodların davranışsal olarak zararlı (virüs veya malware) davranıp davranmadığı taranarak kontrol edilir. Bu taramalarda false positive ( yanlış alarm ) durumları ile karşılaşılabildiği dikkate alınmalıdır. False Positive nedir? En genel anlamıyla false positive bir güvenlik yazılımının açık yada zararlı olarak nitelendire bildiği fakat gerçekte bundan etkilenebilecek bir ortamın yada zafiyetin olmaması durumudur kısaca yanlış alarm olarak da değerlendirilebilir. False Negative nedir? Bir eleme sisteminin yanlış bir eleme yapmasıdır. Bir virüs yazılımının gerçekte virüs olan bir yazılımı virüs olarak algılamaması veya bir antispam yazılımının gerçekte spam olan bir e-postayı spam olarak algılamaması False Negative

23 için örnek olarak verilebilir. Bir saldırının sistemi koruyan IDP,IPS gibi unsurlar tarafından algılanamayıp izin verilmesi de örnek olarak verilebilir. egative KONUK YAZAR : MEHMET KUTLU DURMUŞ DESTEĞİNDEN DOLAYI TEŞEKKÜR EDİYORUZ. & USB Keylogger İncelemesi Aşağıdaki fotoğrafta gördükleriniz her tür klavye girişine uygun keyloggerlar. USB keyloggerımızda bulunan özelliklerin en önemlisi kendisine ait bir depolama alanı olması. Biraz araştırdığınızda GB larca

24 depolama alanı olan keyloggerlar alabiliyorsunuz. USB keyloggerlar öyle kolay bulunur mu diye kaygınız da olmasın. Zira artık çok rahatlıkla internetten sipariş edip, rahatlıkla ulaşabiliyorsunuz. Nasıl çalıştıklarına baktığımda, kullandığım USB keyloggerın çalışma mantığı şu: 1-) Bilgisayarınızın klavyesine giden kabloya uygun uçlu keyloggerı takıyorsunuz. Zaten keyloggerın diğer ucu usb şeklinde olduğundan bir şey farketmiyor. Aynı şekilde bilgisayarınıza takıyorsunuz. Hatta başkasının bilgisayarına taktığınızda uzunca bir süre farkedilmiyor. Sadece boş bir zaman bulup takmanız yeterli. Aşağıdaki fotoğrafta görebileceğiniz gibi klavyeyle bilgisayar arasında USB portunda küçük bir kısım var. Benim bilgisayarım dizüstü olduğu için ek bir klavye takıp bağlantıyı göstermek istedim. Kuşkunuz olmasın ister dizüstü ister masaüstü her türlüsünde çalışıyor. Zira 4 bilgisayar ve 3 tür işletim sisteminde test ettim. Bu 4 bilgisayarın 1 i dizüstü, 3 ü masaüstüydü. İşletim sistemleri konusunda GNU/Linux, Windows ve MacOS da test ettim. Ancak MacOS için USB Keylogger ınızda yapmanız gereken ek şeyler olabilir.

25 2-) Keyloggerınızın firmadan üretildiğinde öntanımlı bir parolası oluyor. Keyloggerı bağladığınız herhangi bir klavye üzerinden bu parolayı tuşladığınızda otomatik olarak algılıyor ve kendisini bilgisayar üzerinde bir depolama cihazı gibi içindekilerle birlikte gösteriyor. 3-) Keyloggerın depolama alanı içerisinde açıldığında LOG.txt, CONFIG.txt ve KEYLOGGER.exe şeklinde 3 dosya oluyor. EXE dosyası görüp aklınıza hemen GNU/Linux üzerinde çalışmıyor mu? gibi sorular gelmesin. Denedim, gayet güzel çalışıyor. Çalışma prensibinde klavye ve bilgisayar arasına takıldığı için klavyeden yazılanları birebir kopyalamak. 4-) Klavye üzerinde yazılan her şey LOG.txt üzerinde depolanıyor. Yazılanların ne zaman yazıldığını anlamak da çok kolay. Çünkü USB Keylogger bilgisayarınızdaki zamanı kullanıyor. Yazılan her şey o bilgisayardaki zaman damgasıyla işleniyor. Üstelik yanlış yazma, silme vs gibi karakter olmayan tuşlar da gayet anlaşılır şekilde gösteriliyor. 5-) CONFIG.txt üzerinde keyloggerınız için olan ayarlar var. Bu ayarların içinde, parolanız, şifreleme seçeneğiniz vs bulunmakta. Bu ayarları kendiniz değiştirebiliyorsunuz. Tabi ki parolanızı alınca değiştirseniz iyi olacaktır. Aslında CONFIG.txt kullanılarak keylogger taktığınız makina hunharca sömürülebilir.usb Keylogger ınızda tanımlanan ayarlar ile aldığınız veriyi şifreleme, aldığında başka yere aktarma vs gibi şeyler ekleyebiliyorsunuz. Tabii KEYLOGGER.exe şeklinde bir de exe dosyası var içerisinde bunun yerine

26 kendiniz bir çalıştırma dosyası koyabilirsiniz. Hatta parolayı normal bir kullanıcının girebileceği herhangi bir şey ile değiştirirseniz anında keylogger makinaya mount edilebilir. Tabii mount edildikten sonrasında daha bir çok farklı şey yapılabilir. Umarım anlatabilmişimdir. Hatalı bir yer görürseniz lütfen uyarın. Bir sonraki oyuncak incelemesinde görüşmek üzere. -EOF- VulnHub SkyTower CTF Çözümü Vulnhub üzerinde eğlenilebilmek için zafiyetlerle hazırlanmış bir çok makine imajı bulunmakta. Bunlardan birisi SkyTower. SkyTower çok zor bi CTF değil. Ama ortalama olarak kısa sürede keyifle çözülebilecek bir makine. Aşama aşama çözümü inceleyip /root/flag.txt dosyamıza ulaşalım. 1-) Sanal ortamda makinenin IP sini bulmak için netdiscover kullanıyoruz. $ netdiscover -r /24

27 2-) Hangi portların açık olduğu ve nasıl yürüyeceğimize karar vermek için küçük bir nmap taraması yapıyoruz. Sonuç olarak SSH açık ancak filtered, ancak bir de 3128.port üzerinde proxy var. Yani temel olarak SSH erişimi için proxy kullanmamız gerekecek. Bir de 80 portundan yapılan bir web yayını var. Öncelikle web üzerinden gideceğiz. Çünkü SSH için elimizde herhangi bir parola yok. 3-) IP sinin 80 portunda şekildeki gibi bir login ekranı geliyor. Haliyle login ekranı görüldüğü an tırnak ( )

28 atmak alışkanlık. 4-) Login ekranında atılan tırnak ( ) sayesinde mysql error alınıyor. Evet, biraz hızlı oldu. 5-) Buradaki SQLi üzerinden yürüyeceğiz. or 1=1 payload ını yazdığımızda değişen bir şey olmuyor ancak proxy de or kelimesi üzerinde filtre uygulandığını görüyoruz. Bunun üzerine farklı payloadlar denemeliyiz.

29 6-) or kelimesinin filtrelenmesi sebebiyle oorr tarzında basit yaklaşımlar deniyoruz. Başarılı olan payload aşağıdaki gibi: oorr 1 > 0 # 7-) SQLi ile john adlı kullanıcıya ve parolasına ulaşmış olduk.

30 8- ) Artık elimizde bir kullanıcı ve parolası olduğuna göre SSH ile giriş yapmayı deneyebiliriz. Ancak görüldüğü üzere proxy ihtiyacımız var. 9-) Kali üzerinde proxytunnel kullandık. Proxy için başka herhangi bir araç kullanabilirsiniz porta açtığımız proxy sayesinde artık SSH ile bağalanabiliyoruz. Ancak hala yeterli yetkimiz yok!

31 10-) /etc/passwd dosyasının içeriğini görüntülediğimizde sistemde 2 kullanıcının daha olduğunu görüyoruz. sara & william!

32 11-) Sistemde bir login ekranı olduğuna göre kodlar içerisinde database connection kodları arasında db için kullanıcı adı ve parola bulabiliriz. login.php içerisinde localhost üzerindeki mysql database kullanıcı adının root parolanın da SkyTech olduğunu görüyoruz.

33 12-) Kullanıcı adı parolası ile mysql e bağlanıyoruz. Sonrasında database ve tablo içeriklerine bakarken login tablosu göze çarpıyor.

34 13-) login tablosu içerisinde diğer kullanıcıların parolaları da var.

35 14-) Öncesinde SSH üzerinde john kullanıcısı ile bağlanırken yaptığımız proxytunnel ı sara ile bağlanırken 3333.port üzerinde açıp aynı şekilde bağlanıyoruz.

36 15-) Okumaya yetkimizin olduğu ve olmadığı dizin/dosyalara bakıyoruz. 16-) accounts dizinini görüntüleme yetkimiz var. O halde basit bir kandırmaca ile herhangi bir yetki yükseltme yöntemi denmeden önce /root/flag.txt dosyasını okutmaya çalışıyoruz. Ve işe yarıyor. Tabii Vututututututu benim sevinme şeklim. root parolasının theskytower olduğunu öğreniyoruz.

37 17-) Mission complete. Temel Tcpdump Kullanımı Tcpdump network üzerinde paket analizi yapmamızı sağlayan bir programcıktır.tüm linux dağıtımlarında kurulu olarak gelmektedir.bu yazıda tcpdump ın temel kullanımını inceleyeceğiz.öncelikle tcpdump programı linux makinelerde sistem binary altında bulunur.(/usr/sbin/tcpdump)bu dizin altında bulunan hemen tüm programcıklar gibi tcpdump da calısmak için sizden yönetici(root) olmanızı beklemekte. 1.Spesifik bir interface den paket yakalamak(tcpdump -i)

38 Eğer tcpdump komutuna herhangi bir parametre verilmez ise bu komut tüm kartlardan paket toplar.ancak özel bir karttan paket toplamasını istiyorsak tcpdump komutunu şu şekilde vermeliyiz. tcpdump -i eth0 tcpdump -i wlan0 Not: Linux makinelerde ethernet kartınız ile ilgili bilgileri ifconfig -a komutu ile alabilirsiniz. 2.Belirli sayıda paket yakalamak (tcpdump -c) Tcpdump komutu sürekli devam eden bir komuttur.yani, bir kez tcpdump komutu verdiğinizde siz süreci durdurmadığınız sürece paket yakalamaya devam eder.ancak -c parametresi ile belirli bir sayıda paket yakalayabiliriz.aşağıdaki örnekte bir 10 adet paket yakalayacağız. tcpdump -c 10 -i wlan0

39 3.Yakalanan paketleri ASCII formatına çevirmek (tcpdump -A ) Tcpdump ın -A parametresi yakalanan paketlerin içeriğini ASCII formatında ekrana basar. tcpdump -A -i wlan0

40 4.Yakalanan paketleri HEX ve ASCII formatında görüntülemek(tcpdump -XX) Tcpdump ın -XX parametresi ile birlikte yakalanan paketler hem HEX hemde ASCII formatında görüntülenebilir. tcpdump -XX -i wlan0 5.Yakalanan paketlerin bir dosyaya yazdırılması(tcpdump -w) Tcpdump -w parametresi yakaladığımız paketleri bir dosyaya yazarak daha sonra analiz etmemize olanak tanır.kaydedeceğimiz dosyanın uzantısı.pcap olmalıdır. tcpdump -w paketadi.pcap -i wlan0 Bu şekilde dosya ismi verdiğimizde bulunduğumuz dizine bir pcap dosyası oluşturulur.direkt isim vermek yerine bir dosya yolu vererek de pcap dosyası oluşturabiliriz. 6.Kaydedilmiş pcap dosyasının okunması(tcpdump -r) Bir önceki maddede yakalanan paketlerle ilgili bilgilerin bir pcap dosyasına yazdırdık.bu dosyayı okumamız gerektiğinde aşağıdaki komutu girmemiz gerek.

41 tcpdump -r paketadi.pcap 7.Paketleri ip adresi ile yakalamak(tcpdump -n) Daha doğrusunu söylemek gerekirse adreslerin çözümlemesini yapıp çevirmez.bundan önceki örneklerdeki tcpdump çıktıları bize DNS sonuçları veriyordu.ancak -n parametresi ile sonuçları ip adresi olarak alabilmekteyiz. tcpdump -n -i wlan0 8.X Byte dan büyük paketlerin yakalanması Aşağıdaki komut ile bilgisayarınız sadece 1024 byte dan büyük paketleri yakalayacaktır. tcpdump -i wlan0 greater Spesifik bir protokolden paket almak Tcpdump sayesinde bir çok protokolden paket toplayabilmekteyiz.(fddi,tr,wlan,ip,ip6,arp,rarp,decnet, tcp and udp)aşağıdaki örnekte wlan0 arayüzü için udp paketlerini toplayan komutu görebilirsiniz. tcpdump -i wlan0 udp 10.X byte dan kücük paketleri okumak Aşağıdaki komutla 1024 byte yakalayacaktır. dan küçük paketleri tcpdump -i wlan0 less Spesifik bir porttan paketleri yakalamak Aşağıdaki komutla spesifik bir porttan paketleri toplayabiliriz.aşağıda 80. port için gerekli komutu bulabilirsiniz. tcpdump -i wlan0 port 80

42 12.Spesifik bir ip ve porttan paketlerin yakalanması Tcpdump tarafından yakalanan paketlerde hedef ve kaynak ip adresleri,port bilgileri yer alır.aşağıdaki komut ile spesifik bir ip adresi ve port ile ilgili paketleri yakalayabiliriz. tcpdump -i wlan0 dst and port İki makine arasındaki tcp bağlantı paketlerini alma Ağ üzerinde iki makine tcp protokolü üzerinden birbiriyle konusuyor ise aşağıdaki kod ile iki makine arasındaki paketleri yakalayabiliriz. tcpdump -i wlan0 src and dst Gb MEGA Ücretsiz Depolama 2013 yılnda, Kim Dotcom tarafından MegaUpload un devamı olarak kurulan bir dosya paylaşım sitesidir. Ücretsiz 50 GB depolama ortamı sunun siteye linkten Sunucularının ulaşabilirsiniz > mega.co.nz Yeni Zellanda da olması ABD yasalarının bağlayıcı olmadığını gösteriyor. Ayrıca kendi içerisinde Crypto Chat imkanı da bulunan Mega nın ücretli

43 seçenekleri de bulunmakta. İstemci ve mobil tarafta da clientı indirerek dosyalarınızı senkronize edebiirsiniz. hl=tr İlgili Görseller >>> Güvenlik Kavramları Sözlüğü SSL : (Secure Sockets Layer) (Güvenli Giriş Katmanı) dır.sunucu ile istemci arasındaki veri akışını şifrelemeye yarar. SQL : (Structured Query Language-Yapısal Sorgulama Dili) veritabanlarında data çekme, veri silme ve değiştirme gibi işlemler için kullanılan basit yapılı bir dildir. Güncel veritabanı yazılımlarının birçoğunda (MySQL, MSSQL, PostgreSQL ) kullanılır.

44 SQL İnjection : SQL sorgusunun içerisine dışarıdan müdahale ederek var olan sorgunun değiştirilmesi, yeni bir SQL sorgu oluşturmak ve yeni oluşan sorgunun Database Server tarafında çalıştırmasını sağlamaktır. Bu yöntem ile Database de bulunan bilgiler elde edilebilinir.(üye bilgileri, yönetici şifreleri ) Phishing Saldırıları : (Oltalama Saldırıları) Phishing Password (Şifre) ve Fishing (Balık avlamak) sözcüklerinin birleştirilmesiyle oluşturulan Türkçe ye yemleme (oltalama) olarak çevrilmiş bir saldırı çeşididir. Phishing saldırıları son zamanların en gözde saldırı çeşidi olarak karşımıza çıkmaktadır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahta sitelere yönlendirilir. Phishing saldırıları için Bankalar, Sosyal Paylaşım Siteleri, Mail Servisleri, Online Oyunlar vb. sahte web sayfakları hazırlanmaktır. Burada bilgisayar kullanıcısında özlük bilgileri, kart numarası, şifresi vb. istenir. E-posta ve sahte sitedeki talepleri dikkate alan kullanıcıların bilgileri çalınır. Brute Force Attack : (Kaba Kuvvet Saldırısı) Web yazılımlarının login(giriş) kısımlarına yapılan deneme yanılma saldırılarıdır.amaç deneme yanılma yöntemiyle bir kullanıcı adına ait şifreyi bulmak ve yönetimi ele geçirmektir. DOS : (Denial of Service) Hizmeti aksatma saldırılarıdır.dos saldırılarının amacı genellikle, sunucunun kaynaklarını tüketmek ve bant genişliğini mümkün olduğunca çok kullanmaktır.bu şekilde sitenin, kullanıcılarına hizmet verememesi amaçlanır. DDOS : (Distrubuted Denial of Service) Dağıtık Servis Engelleme saldırısıdır.saldırganın saldırıya geçmeden önce oluşturduğu bilgisayar topluluğu (botnet) ile hedefe saldırmasıdır.ddos saldırısı, koordineli olarak yapılır ve

45 DoS a göre daha fazla zarar verir.kısaca bir DoS saldırısını bir sürü farklı bilgisayardan yaparsanız Ddos yapmış olursunuz. DRDOS : (Distrubuted Reflective Denial of Service) DDoS a benzerdir. Tek farkı, daha sık aralıklarla atak yapmak amacıyla ek ağlar kullanmaktadır. Man İn The Middle Attack : Aradaki adam saldırısı -Ortadaki adam saldırısı saldırganın bağlı olduğu ağda, kurban ile modem, router,sunucu gibi cihazların arasına girerek şifrelenmemiş verileri ele geçirmesidir. Zero day saldırısı : (Sıfırıncı Gün Saldırısı) Bir yazılımda bulunan açıktan faydalanılarak gerçekleştirilen, geliştiricinin henüz farketmediği veya yama gibi vb. bir çözüm uygulamadığı saldırı tipidir. Botnet saldırıları : Temelde birçok bilgisayarın saldırgan veya saldırganlar tarafından tek bir noktadan kötü amaçlar doğrultusunda yönetilmesi sonucunda oluşan saldırılardır.zombi saldırıları da denebilir. VPN : Virtual Private Network (Sanal Özel Ağ) Kısaca iki bilgisayarın şifreli olarak haberleştiği özel bir ağ sistemidir diyebiliriz. İki bilgisayarın karşılıklı haberleşmesi şifrelenmiş olarak gerçekleştiği için dinlenmesi ve 3. tarafların veri erişimi ihtimali de yok denecek kadar azdır. VPN ile karşı bilgisayara bağlanarak, onun üzerinden internette sörf yapabilirsiniz. Diğer bir deyişle İngiltere de bir firmadan VPN hizmeti aldıysanız sanki İngiltere de bir kullanıcı gibi internette gezinebileceksiniz.yasaklı site kavramı sizin için bir anlam ifade etmeyecektir. VPS : ( Virtual Private Server ) Paylaşımlı Özel Sunucu.Bir

46 sunucunun çeşitli yazılımlar vasıtasıyla birbirinden bağımsız ve birden fazla sanal sunucuya ayrılması sonucu ortaya çıkan her bir sanal sunucuya denir. Vps sunucular aynı sunucuda olduğu halde birbirinden bağımsız olarak çalışmasına olanak sağlar. Paylaşılan sunuculara erişim kısıtlanmıştır. Her sanal sunucu kendi işletim sistemi, kontrol paneli ve kendine ait kapasiteleri mevcuttur.