Kurumsal A lardaki Windows Ortamlarna Saldrlar ve Skla³trma Yöntemleri

Transkript

1 Kurumsal A lardaki Windows Ortamlarna Saldrlar ve Skla³trma Yöntemleri Bu tez Bilgi Güvenli i Mühendisli i'nde Tezli Yüksek Lisans Programnn bir ko³ulu olarak Ertu rul Ba³arano lu tarafndan Fen Bilimleri Enstitüsü'ne sunulmu³tur.

2

3

4 Kurumsal A lardaki Windows Ortamlarna Saldrlar ve Skla³trma Yöntemleri Ertu rul Ba³arano lu Öz Günümüzde teknolojinin geli³imi ile birlikte kurumlar da bu geli³ime ayak uydurmakta ve bu durum kurum içerisinde birden fazla teknolojinin, platformun, sistemin, uygulamann kullanlmasna sebep olmaktadr. Kurumsal ortamdaki bu karma³klk saldr yüzeyini arttrarak siber saldrlarganlarn i³tahn kabartmakta ve siber saldrlarn art³na sebep olmaktadr. Gerçekle³ebilecek muhtemel bu saldrlara kar³, kurumlarn szma testlerine verdi i önemi arttrm³tr. Bu amaçla kurum personeli tarafndan ve d³ kaynakl rmalar tarafndan szma testleri gerçekle³tirilmektedir. Özel sektörde veya kamu sektöründe gerçekle³tirilen bu testler sonucunda szma testi raporlar hazrlanmakta ve bu raporlara göre sistemler skla³trlmaktadr. Szma testlerinin kapsamlarndan birisi olan Etki Alan Szma Testleri, kurumlardaki merkezi yönetimi kolayla³trmak ve kurum içindeki sistemlerin güvenli ini sa lamak amacyla kullanlan Microsoft Etki Alan'ndaki sistemlerin zayklarn ortaya çkarmay amaçlar. Etki alan güvenli bir ³ekilde yaplandrlmaz ise, merkezi yapnn yönetimi saldrganlarn eline geçebilir ve durum kurum için büyük zararlara sebep olabilir. Gerçekle³tirilen bu çal³mada, genel kabul görmü³ standartlar ³i nda Microsoft etki alan szma testleri için bir metadoloji sunularak saldrgan bak³ açsyla kurumsal iç a da Microsoft etki alan saldrlarnn temel admlar, bu saldrlar admlarnn temel sebepleri ve saldrlara kar³ alnabilecek temel önlemler ortaya koyulacaktr Anahtar Sözcükler: Microsoft Etki Alan, Skla³trma, Szma Testi, Windows Szma Testi, A Szma Testi, Fiziksel Güvenlik, Bilgi Güvenli i, Parola Saldrlar

5 Saygde er aileme ve dostlarma... iv

6 Te³ekkür Çal³mam süresince her türlü yardm ve fedakârl sa layan, dan³manlarm Sayn Prof. Dr. Ensar Gül ve Sayn Dr. Ferhat Özgür Çatak'a, Tezimin hazrlanmas srasnda beni cesaretlendiren, ümit veren ve manevi destek sa layan Abdulkerim Demir ve di er de erli arkada³larma, Çal³malarm esnasnda manevi desteklerini her zaman hissetti im de erli aileme ve aile dostum Dr. Abdurrahman Pekta³'a te³ekkürü bir borç bilirim. v

7 çindekiler Yazarlk Beyan Öz Te³ekkür ekil Listesi Tablo Listesi Ksaltmalar ii iii v x xii xiii 1 Giri³ 1 2 Temel Bilgiler Bilgi Güvenli i Temelleri Temel Unsurlar Açklk, Tehdit, Sömürme ve Risk Pareto Prensibi En Az Hak Prensibi Temel Saldr Tipleri Saldrgan Snar Kriptogra Temelleri Çok A³amal Kimlik Do rulama ifreleme Özet Alma Mesaj Do rulama Kodu (Message Authentication Code MAC) Parolalarn Saklanmas Saysal mza Veri Gizlili ini Sa lama Veri Boyutunun Küçültülmesi Verinin De i³tirilmedi inin Kontrolü Windows ³letim Sistemi ve Microsoft Etki Alan Temelleri Çal³ma Gruplar (Workgroups) Etki Alan (Domain) Kullanclar ve Bilgisayarlar Gruplar vi

8 çindekiler vii SID (Security Identier) Oturum Açma Haklar Ayrcalklar Security Access Token (SAT) Zorunlu Bütünlük Kontrolü (MIC) Kullanc Hesap Denetimi (UAC) Kimlik Do rulama Yöntemleri Oturum Açma Süreci Szma Testleri Amac Kapsamlar Yöntemleri Raporlanmas Araçlar Metasploit Framework Tez Çal³masnn Kapsam lgili Çal³malar Kurumsal Bilgi Güvenli i ve COBIT Kurumsal Bilgi Güvenli inde Zayet, Saldr Ve Savunma Ö elerinin ncelenmesi Siber Güvenli in Milli Güvenlik Açsndan Önemi ve Alnabilecek Tedbirler Kurumsal Bilgi Güvenli i Ve Standartlar Üzerine Bir nceleme Szma Testi Metodolojilerinin Seçimi: Kar³la³trma ve Geli³imi (Selection of Penetration Testing Methodologies: A Comparison and Evaluation) Mobil Bankaclkta Güvenlik Sorunlarn Analizi A Güvenlik Parametreleri ve Optimizasyonu (Network Security Parameters And Their Optimization) FreeBSD: Szma Testlerinde Saldrlar ve Zayetler (Attack and Vulnerability Penetration Testing: FreeBSD) Ortak Kullanlan Kablosuz A larda Oturum Çalma (Session Hijacking in WLAN Based Public Networks) Kurumsal Bilgi Güvenli i Ve Szma (Penetrasyon) Testleri Banner Grabbing ile Zayet Ke³ (Vulnerability Detection Tool Using Banner Grabbing) Bilgisayar Sistemleri için Seçilmi³ Szma Testi Yakla³mnn Uygulamas (Application of the Selected Pe-netration Testing Approach for Computer System) Otomatik Saldr Planlama (Automated Attack Planning) E lence ve Kâr Amacyla Siber Saldr Simüle Etme (Simulating Cyber- Attacks For Fun And Prot) Faz Bazl Açklk Analizi Yaparak Sanal Szma Testleri Gerçekle³tirmek (Virtual Penetration Testing with Phase Based Vulnerability Analysis) Szma Testleri çin Bir Model A Üzerinde Siber Saldr Senaryolarnn De erlendirilmesi Geli³mi³ Hedef Odakl Siber Saldrlar Siber Güvenlik Açsndan Szma Testlerinin Uygulamalar ile De erlendirilmesi 40

9 çindekiler viii 3.19 Windows Kimlik Bilgisi Hrszl : Yöntemleri ve Önlemleri (Windows Credential Theft: Methods and Mi-tigations) Windows Kimlik Do rulamas Güvenlik Fonksiyonu: Tehditler ve Önlemlerin Kontrol Listelerine Uyarlanmas) Hazrlanan Çal³mann Di er Çal³malardan Farkllklar Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Fiziksel Güvenli i Atlatma Disk sistemine eri³im Oturuma eri³im ³letim Sistemi Eri³imi ³letim sistemi zayetlerinin istismar Uygulama zayetlerinin istismar Yaplandrma ayarlarnn istismar Hak Yükseltme Bilgisayar Üzerinde Kritik Bilgi Elde Etme Yerel bilgisayar veya etki alan hakknda bilgiler Parola özetleri veya bu bilgileri içeren dosyalar RAM üzerinde kaytl jetonlar RAM üzerinde kaytl parolalar Disk veya uygulamalar üzerinde kaytl veriler Eri³im Süreklili ini Sa lama Yeni A lara Eri³im Sa lama A Ke³ Zayet Tarama A Üzerinde Kritik Bilgi Elde Etme Eri³im Sa lanabilecek Bilgisayarlarn ve Kullanclarn Tespiti MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas PTES (Penetration Testing Execution Standard) CEH (Certied Ethical Hacker) OSSTMM (The Open Source Security Testing Methodology Manual) OWASP Test Rehberi (Open Web Application Security Project Testing Guide) ISSAF (Information Systems Security Assessment Fra-mework) Etki Alan Saldrlarna Kar³ Temel Korunma Yöntemleri BIOS Yaplandrmas Disk ifreleme A Yaplandrmas Servis Yaplandrmas Parola Güvenli i Pass The Hash Saldrlarna Kar³ Önlemler RAM Üzerinden Parolalarn Elde Edilmesine Kar³n Önlemler Oturum Sonlandrma ³lemleri Güvenli Parola Kullanm Kullanlmayan Kütüphanelerin (DLL) Kaldrlmas

10 çindekiler ix stemci Tara Koruma Sistemleri Uzaktan Eri³im Yöntemleri Güncelle³tirmelerin Gerçekle³tirilmesi Altn Bilet Saldrsna Kar³n Önlemler Temel Kontroller ve Skla³trmalar Kritik Hesaplarn Kullanm Yama Yönetimi Yedekleme Log Yönetimi ve zleme Kimlik Yönetimi ve Eri³im Kontrolü Aktif Dizin Denetimleri Bilgi Güvenli i Farkndal Sonuç 94 Kaynaklar 96

11 ekil Listesi 2.1 Simetrik ifreleme Asimetrik ifreleme SID De erleri Kullancnn Kimlik ve Grup Bilgilerinin Listelenmesi Kullancnn Ayrcalk Bilgisinin Listelenmesi Windows 7 ³letim Sisteminde Boot ³lemi Sonras Çal³an Prosesler Etki Alan Szma Testi Metodolojisi SAM ve SYSTEM Dosyalar Linux samdump2 ve bkhive Araçlar ile Parola Özetlerinin Elde Edilmesi Ophcrack Arac ile Parola Özetlerinin Elde Edilmesi Utilman Hilesi Launch Startup Repair Özelli i Linux chntpw Arac ile Parola Sfrlama Windows ³letim Sistemindeki ms Zayetinin stismar Achat Uygulama Zayetinin stismar Sysinternals Psexec Arac MSF Psexec Modülü MSF psexec-command Modülü Linux pth-winexe Arac WCE ile RAM Üzerindeki Parolay De i³tirme Windows Update Özelli inin stismar Sysinternals Psexec Arac ile SYSTEM Yetkilerinin Elde Edilmesi Meterpreter ile UAC Atlatma stemcide Hak Yükseltme Zayetleri MS Zayetinin stismar Windows reg Komutu ile SAM ve SYSTEM Dosyalarnn Elde Edilmesi Windows reg Arac ile SAM ve SYSTEM Dosyalarnn Elde Edilmesi Cain & Abel Arac ile SAM ve SYSTEM Dosyalarndan Parolalarn Elde Edilmesi Meterpreter ile Parola Özetlerinin Elde Edilmesi Volume Shadow Copy ile NTDS ve SYSTEM Dosyalarnn Elde Edilmesi Esedbtools ve Ntdsxreact ile Ntds ve SYSTEM Dosyalarndan Parolalarn Elde Edilmesi Prosese Atlama WCE ve Mimikatz Kullanm Mimikatz Powershell Kullanm Mimikatz Meterpreter Kullanm x

12 ekil Listesi xi 4.30 Mimikatz LSASS ile Kullanm Powershell ile Disk Üzerinden Kritik Bilgi Elde Etme Meterpreter ile Uygulamalar Üzerinden Kritik Bilgi Elde Etme Grup lkeleri Üzerinden Kritik Bilgi Elde Etme Arka Kap Brakma Meterpreter ile Arka Kap Brakma WMI ile Arka Kap Brakma Altn Bilet ile Arka Kap Brakma Meterpreter ile Ba³ka A lara Eri³im Zenmap ile A Taramas Nessus ile Zayet Taramas Betikler ile Zayet Taramas Cain & Abel ile A Üzerinden Parola Elde Etme MSF ile Payla³mlar Üzerinden Bilgi Elde Etme NFS Üzerinden Bilgi Elde Etme Sözlük Saldrs Gerçekle³tirme MSF ile Sözlük Saldrs Gerçekle³tirme MSF ile Oturumu Açk Kullanclarn Tespit Edilmesi Kaçak Beti i ile Oturumu Açk Kullancnn Tespit Edilmesi BIOS Parolasnn Olu³turulmas

13 Tablo Listesi 7.1 Etki Alan Szma Testi Admlar ve Korunma Yöntemleri Tezde Sunulan Metodoloji (MSDEPTM) ile Benzer Çal³malarn Kar³la³trlmas xii

14 Ksaltmalar CIA AES ATM BGYS BIOS BT CBC-MAC CD-ROM CEH COBIT DC DDOS DES DHCP DNS DREAD DSA FreeBSD HIPS HTTP ID IPS ISECOM ISSAF LM Condentiality Integrity Availability Advanced Encryption Standard Automated Teller Machine Bilgi Güvenli i Yönetim Sistemi Basic Input Output System Bilgi Teknolojileri Cipher Block Chaining Message Authentication Code Compact Disc Read Only Memory Certied Ethical Hacker Control Objectives For Information And Related Technology Domain Controller Distributed Denial Of Service Data Encryption Standard Dynamic Host Conguration Protocol Domain Name Service Damage Reproducibility Exploitability Aected Users Discoverability Digital Signature Algorithm Free Berkeley Software Distribution Host Intrusion Prevention System Hyper Text Transfer Protocol Identication Number Intrusion Prevention System The Institute For Security And Open Methodologies Information Systems Security Assessment Framework LAN Manager xiii

15 Ksaltmalar xiv MAC Media Access Control MAC Message Authentication Code MIC Mandatory Integrity Control MSDEPTM Microsoft Domain Environment Penetration Testing Metodology MSF Metasploit Framework MSSQL Microsoft Structured Query Language NTDS New Technology Directory Service NTFS New Technology File System NTLM New Technology LAN Manager OSSTMM The Open Source Security Testing Methodology Manual OU Organizational Unit OWASP Open Web Application Security Project PCI Payment Card Industry PIN Personal Identication Number PKI Public Key Infrastructure PTES Penetration Testing Execution Standard RC4 Rivest Cipher 4 ROI Return Of Investment RSA Rivest Shamir Adleman SACL System Access Control List SAM Security Accounts Manager SAT Security Access Token SCADA Supervisory Control And Data Acquisition SHA Secure Hash Algorithm SID Security Identifer SMS Short Message Service TCKN Türkiye Cumhuriyeti Kimlik Numaras TPM Trusted Platform Module UAC User Account Control USB Universal Serial Bus VoIP Voice Over Internet Protocol VPN Virtual Private Network XSS Cross Site Scripting

16 Bölüm 1 Giri³ Teknolojik geli³melere paralel olarak, karma³kla³an bile³enlerin yönetimi için ortaya çkm³ merkezi çözüm etki alan olarak adlandrlmaktadr. Kurum sistemlerinin yönetildi i bu teknoloji, operasyonel olarak büyük kolaylk sunmasnn yannda güvenli i sa lamak için de kullanld ndan kritik bir öneme sahiptir. Sistemlerin merkezinde bulunmas ve yönetim özelli inin olmasndan dolay etki alanlar siber saldrganlar için önemli hedeer olmaktadr. Bu yüzden etki alann güvenli bir ³ekilde yaplandrmak ve do ru bir ³ekilde yönetmek büyük önem ta³maktadr. Ayrca periyodik olarak bu yaplandrmalar kontrol edilmelidir. Aksi halde merkezi yapnn yönetimi saldrganlarn eline geçebilir ve bu durum kurumlar için büyük zararlara sebep olabilir. Kurumlar etki alanndaki sistemlerin siber saldrlar kar³sndaki durumunu görmek, varsa zayklarn ortaya çkartmak ve bu sonuçlara göre önlem alabilmek için Microsoft etki alan szma testlerini yaptrmaldrlar. Szma testleri sonucunda yaplacak iyile³tirmeler ile sitemlerin daha güvenli ve siber saldrlara kar³ daha savunmal olmas sa lanmaktadr. Microsoft etki alan szma testleri konusunda birçok görü³, uygulama ve yöntem bulunmaktadr. Bu çal³mada; Microsoft etki alan ortamnda gerçekle³tirilen saldrlarn temel admlar, bu saldrlarn gerçekle³tirilme yöntemleri, bu saldrlarn gerçekle³mesine sebep olan zayklar ve bu saldrlara kar³ alnabilecek önlemler nelerdir gibi sorulara cevap aranacaktr. Çal³ma içeri inde, 2. bölümde konunun daha iyi anla³labilmesi amacyla, çal³ma kapsamnda kullanlan kavramlar ve szma testleri hakknda genel bilgiler verilmi³tir. 3. bölümde, bu konu ile ilgili daha önce yaplm³ olan benzer çal³malar incelenmi³tir. 4. 1

17 Bölüm 1. Giri³ 2 bölümde ise tez çal³masna konu olan kurumsal a larda microsoft etki alan szma testi metodolojisi ve saldr teknikleri detayl bir ³ekilde açklanm³tr. Ayrca, olu³turulan metodoloji ve saldr teknikleri örnek senaryolar üzerinden gerçeklenmi³ ve sonuçlar detayl olarak payla³lm³tr. 5. bölümde ise szma testleri için hazrlanan standartlar, klavuzlar ve metodolojiler incelenmi³ ve bu tezdeki metodoloji ile kar³la³trlm³tr. 6. bölümde ise, etki alan saldrlarna kar³ geli³tirilmi³ olan temel korunma yöntemlerinden bahsedilmi³tir. Son bölüm olan 7. bölümde ise çal³mann sonuçlar analiz edilmi³tir.

18 Bölüm 2 Temel Bilgiler Bilgi, kurum için de eri olan ve korunmas gereken bir varlklar bütünüdür. Bir kurumda bulunan ve korunmas gereken varlklar temel olarak a³a daki gibidir: Kurumsal de eri olan bilgiler Mü³terilere ait olan bilgiler Tedarikçilere ait olan bilgiler nternet üzerinden herkese açlan bilgiler Kurum içerisindeki çal³anlara veya çal³anlarn bir ksmna açlan bilgiler ve servisler 2.1 Bilgi Güvenli i Temelleri Bilgi güvenli i, kurumdaki bilgilere izinsiz olarak eri³imden, kullanlmasndan, aç a çkarlmasndan, imha edilmesinden, de i³ikli e u ramasndan veya zarar görmesinden korunmas ve bu durumlar oldu u zaman olaylarn tespit edilebilmesi i³lemidir [1] Temel Unsurlar Bilgi güvenli inin temelinde gizlilik, bütünlük ve eri³ebilirlik yatmaktadr. Bu üçlüye ksaca Condentiality, Integrity, Availability ifadelerinin ilk harerinden olu³an CIA ad verilmektedir. Bu unsurlar temel olarak ³u ³ekildedir: 3

19 Bölüm 2. Temel Bilgiler 4 Gizlilik (Condentiality): Bilginin yetkisi olmayan taraarn eri³imine engellenmesi, sadece yetkili ki³ilerin eri³imine açlmas amaçlanr. Veri Bütünlü ü (Data Integrity): Bilginin de i³tirilmemesi veya de i³tirildi inde bunun tespit edilebilmesi amaçlanr. Eri³ilebilirlik (Availability): Bilginin tam ve eksiksiz olarak ula³labilirli i amaçlanr. CIA olarak ksaltlan bu üçlü arasnda bir denge vardr ve bu dengenin iyi sa lanmas gerekmektedir. Genellikle gizlilik ve eri³ilebilirlik ters orantl olabilmektedir. Gizlili i sa larken eri³ilebilirli i azaltmamak gerekir. Bilgi güvenli i belirtilen 3 unsur haricinde daha birçok unsurdan olu³ur. Gizlilik, bütünlük ve eri³ilebilirlik haricindeki di er unsurlar a³a daki gibi tanmlanabilir [24]. Güvenilirlik (Reliability Consistency) : Sistemin beklendi i gibi tutarl bir ³ekilde çal³mas amaçlanr. nkar Edememe (Non-repudiation): Bilgi üzerinde yaplan i³lemleri yapan tarafn bu i³lemleri inkar edememesi amaçlanr. Kimlik Snamas / Do rulama (Authentication): Bilgi üzerinde yaplan i³lemlerin sahibinin do rulanmas amaçlanr. Yetkilendirme (Authorization): Bilgi üzerinde yaplan i³lemlerin verilen role ve yetkiye göre kstlanabilmesi amaçlanr. zlenebilirlik/kayt Tutma (Accountability): Bilgi üzerinde yaplan i³lemlerin kaydnn güvenli olarak tutulmas amaçlanr Açklk, Tehdit, Sömürme ve Risk Açklk, tehdit, risk ve sömürme kavramlar çok sk kullanlan bilgi güvenli i kavramlarndandr. Bu kavramlar a³a daki gibi tanmlanabilir [5]. Açklk (Vulnerability): Herhangi bir saldrgann sisteme zarar vermek için yararlanabilece i sistemde bulunan açklklardr. Açklklar sistemin yapsal tasarm hatalarndan, sisteme yüklenen programlardan ya da sistemlerdeki yanl³ yaplandrma ayarlarndan kaynaklanabilir.

20 Bölüm 2. Temel Bilgiler 5 Tehdit (Threat): steyerek ya da istemeden bir kurum veya kurulu³a zarar verme ihtimali olan etkenlerdir. Tehdit türleri dahili ve harici tehdit unsurlar olmak üzere ikiye ayrlabilir. Dahili Tehdit Unsurlar: Kurum içerisinden gelen tehditlerdir. Kurumdaki temizlik görevlisinin sunucu ³ini çekmesi, personelin kolay bir parola kullanmas, i³ten ayrlan personelin kurum gizli verilerini kaçrmas örnek olarak verilebilir. Harici Tehdit Unsurlar: Kurum d³ndan gelen tehditlerdir. Web sayfasnn de i³tirilmesi, dye yazlmlarnn kurum personeline gönderilmesi, kurum sistemlerine hizmet d³ brakma saldrlarnn düzenlenmesi vb. bir çok örnek verilebilir. Risk: Tehditin gerçekle³me veya bir saldrnn sisteme zarar verme olasl olarak tanmlanabilir. Sömürme (Exploit): Sistemdeki bir açkl n istismar edilmesidir Pareto Prensibi 80'e 20 kural olarak bilinen Pareto Prensibini güvenlik alanna, alnabilecek önlemlerin %20'sinin alnmas kar³la³labilecek saldrlarn %80'inden korunma sa lar ³eklinde uyarlanabilir [6]. Basit ve hzlca gerçekle³tirilebilecek birkaç güvenlik önlemi, kurumu günlük hayatta kar³la³abilecek saldrlarn %80'inden koruyacaktr. En basitinden güçlü bir parola politikasnn tüm kurumca uygulanmas, kurulumu ve yönetimi oldukça basit olan güncelle³tirme servisleri ile kurumda kullanlan tüm sistemlerin en son güncelle³tirmeler ile donatlmas gerçekten de kar³la³lacak çok sayda saldrlardan sistemlerin korunmasna oldukça fazla oranda katk sa layacaktr En Az Hak Prensibi Di er bir güvenlik önlemi ise organizasyondaki kullanclarn haklardr. Bu amaçla en az haklar prensibi uygulanmaldr [7]. En az hak prensibi kullanclarn rutin i³lerini yapabilmeleri için gerekli, ihtiyaç duyacaklar kadar iznin verilmesi olarak tanmlanabilir. Örne in yedekleme i³lemi yapmas gereken bir hesabn, etki alanna kullanc ekleme

21 Bölüm 2. Temel Bilgiler 6 hakknn olmasna gerek yoktur. Operasyonel kolaylk sa lad için kullanclara tam yetki verilmesi saldr yüzeyini arttrmaktadr. Ayrca organizasyon içerisinde görevler ayrl ilkesi uygulanmaldr. Operasyonu gerçekle³tiren, yetkileri veren ve i³lemleri denetleyenler farkl personel olmaldr. En az hak prensibini uygulanrken öncelikle kullanclarn tüm haklar kaldrlr, sonrasnda da ihtiyac oldu u dü³ünülen izinler kendilerine atanr. Bu amaçla belli ³ablonlar kullanlmaldr. Hak yükseltme talepleri için organizasyon içerisinde talep yönetim sistemleri kullanlmaldr. Bu prosedürlere göre, ilgili kullancnn baz bilgileri (IP, kullanc ad, hakkn geçerlilik süresi vb.) belli onay mekanizmalarndan geçtikten sonra istenen hakkn verilip verilmeyece i de erlendirilir. Verilen bu haklar belli aralklarla gözden geçirilmeli, bu haklar ile gerçekle³tirilen i³lemler denetlenmelidir. 2.2 Temel Saldr Tipleri Bilgisayar ve a güvenli ine yönelik çe³itli saldrlar gerçekle³tirilmektedir [8]. Bu saldrlar süreçsel olarak 4 kategoride toplanabilir. Normal trak ak³ ve bu ak³a kar³ gerçekle³tirilebilecek temel saldr tipleri a³a daki gibi sralanabilir: Engelleme: ki sistem arasndaki veri tra i kesilebilir. Dinleme: ki sistem arasndaki veri tra i okunabilir. De i³tirme: ki sistem arasndaki veri tra i de i³tirilebilir. Olu³turma: D³ardaki bir kaynaktan yeni bir trak olu³turulabilir. Bu saldr tiplerine kar³, CIA ve di er güvenlik unsurlar sa lanmaldr. Bu amaçla bir takm tedbirler alnmaldr. Alnabilecek tedbirler sonraki bölümde incelenecektir. 2.3 Saldrgan Snar Saldrlar gerçekle³tiren ki³i veya gruplar temel olarak a³a daki gibi 3 ba³lk altnda snandrlabilir [9, 10]:

22 Bölüm 2. Temel Bilgiler 7 Siyah apkal Saldrganlar: Black Hat Hackers veya Crackers olarak da adlandrlabilirler. amaçlarlar. Bu tür saldrganlar kötü niyetli olup hedeerine zarar vermeyi Beyaz apkal Saldrganlar: White Hat Hackers, Ethical Hackers veya Security Analysts olarak da adlandrlabilirler. Bu tür saldrganlar iyi niyetli ve etik ki³iler olup, hedeerine zarar vermeyi amaçlamazlar. Siyah ³apkal saldrganlarn yapabileceklerini göstererek, yeteneklerini ve bilgilerini koruma (defansif) amac ile kullanrlar. Gri apkal Saldrganlar: Gray Hat Hackers olarak da adlandrlabilirler. Bu tür saldrganlar iyi veya kötü niyetli olabilir. Bunlarn yannda di er saldrgan snarndan bazlar a³a daki gibi sralanabilir: Hacktivists Script Kiddies Suicide Hackers Phreaker Cyber Terorrists 2.4 Kriptogra Temelleri Bu ba³lk altnda temel kriptogra yöntemleri olan ³ifreleme ve özet alma i³lemlerinin yan sra çok a³amal kimlik do rulama konusu incelenecektir Çok A³amal Kimlik Do rulama Günümüzde en önemli konulardan birisi kimlik do rulamadr. Kimlik do rulama saldrlarna kar³ bir takm önlemler alnmaktadr. En önemli önlemlerden birisi de çoklu kimlik do rulamadr. Çoklu kimlik do rulama yöntemleri a³a daki gibi sralanabilir [11].

23 Bölüm 2. Temel Bilgiler 8 Something you know (Bilinenler): Bilgiye eri³im için kullancnn bildi i bir veri kullanlr. Parola, gizli soru örnek olarak verilebilir. Something you have (Sahip olunanlar): Bilgiye eri³im için kullancnn sahip oldu u veri kullanlr. Akll kart (PIN), telefon (SMS) örnek olarak verilebilir. Something you are (Oldu un): Bilgiye eri³im için kullancya ait olan (genellikle biyolojik) bir veri kullanlr. Parmak izi, retina örnek olarak verilebilir ifreleme ifreleme bilginin gizlili ini korumak için geri döndürülebilecek forma sokulmasdr. ifreleme i³lemlerinde kullanlan anahtarn uzunlu u oldukça önem arz etmektedir [12]. ifreleme yöntemleri temel olarak ikiye ayrlr: Simetrik ifreleme: ekil 2.1' de görüldü ü gibi ³ifreleme ve ³ifre çözmede ortak anahtar kullanlr. Oldukça hzl bir yöntemdir. Ancak anahtar da tm ve anahtar depolanmas gibi bir takm sorunlar vardr. ekil 2.1: Simetrik ifreleme Asimetrik ifreleme: 2.2 'de de görüldü ü gibi genel ve özel anahtar çiftleri ile ³ifreleme ve ³ifre çözme i³lemleri gerçekle³ir [13]. Özel anahtar hiç bir taraf ile payla³lmaz ve özel anahtar kullanlarak genel anahtar elde edilebilir. Genel anahtar ise herkes ile payla³labilir. Alcnn genel anahtar ile ³ifrelenen bilgi, sadece alcnn özel anahtar ile açlabilir. Gönderici taraf kendisinde bulunan özel anahtar ile imzalad bilgiyi herhangi bir taraf göndericinin genel anahtar ile do rulayabilir. Bu sebeple inkar edilememezlik sa lanabilir. Asimetrik ³ifreleme yöntemi ile anahtar da tm ve depolama problemine çözüm bulunmu³tur. Bunun yannda bu yöntem yava³tr.

24 Bölüm 2. Temel Bilgiler 9 ekil 2.2: Asimetrik ifreleme Özet Alma Günümüzde verinin bütünlü ünü (ve gizlili ini) sa lamak önemli bir konudur. Özetleme (hashing), temel olarak verinin bütünlü ünü sa lamak için kullanlan bir yöntemdir [14]. Orijinal veriyi ve özetini alan kullancnn orijinal metnin de i³tirilmedi inin anla³lmas hedeenmektedir. Özeti alnm³ veri geri döndürülemeyecek ³ekilde kar³ tarafa gönderilir. Özet alma fonksiyonlar, temel olarak iki amaçla kullanlr: Verinin bütünlü ü kontrol edilir. Böylece verinin bir ³ekilde de i³medi inden emin olunur. Büyük boyutlardaki verinin boyutu sabit uzunlukta olan daha küçük boyuta indirgenir. Böylece hedefe gönderilecek verinin boyutu dü³ürülmektedir. MER- HABA kelimesi için basit bir özet alma fonksiyonu a³a daki gibi tanmlanabilir: Tüm harerin Türkçe alfabeye göre saysal de eri hesaplanr. Bu saysal de erler M=16, E=6, R=21, H=10, A=1, B=2, A=1 olarak bulunabilir. Tüm de erler toplanr. Sonuç olarak =57 olarak bulunur. Sonuç de eri olarak bulunan 57 özet fonksiyonunun sonucudur.

25 Bölüm 2. Temel Bilgiler 10 Ksacas ÖzetFonsksiyonu(MERHABA)=57'dir. 57 de erinden MERHABA ifadesi elde edilemez. Ancak MERHABA ifadesi ayn özetleme algoritmasna i³leme sokuldu unda her defasnda 57 de erini verir. Özetleme algoritmalar ile ilgili baz önemli noktalar ³unlardr: Özetleme algoritmalar için simetrik / asimetrik gibi bir snandrma yoktur. Özetleme algoritmalar anahtar kullanmazlar. Özetleme fonksiyonlar, tek yönlüdür. Bu sebeple, özetlenen veriden, asl veri elde edilemez. Geri dönü³türülememesinin garanti edilebilmesi için güçlü algoritmalar kullanlmaldr. Ayn metin, ayn özetleme algoritmas ile i³leme koyulursa her defasnda ayn sonuç ortaya çkar. Bu sebeple bütünlük kontrolü gerçekle³tirilebilir. Güçlü bir özetleme algoritmas ile metin üzerindeki küçük bir de i³iklik, çktda büyük de i³ikli e sebep olur. Blok uzunlu u ne kadar fazla olursa o kadar güvenilirdir. Güvenilir bir özetleme fonksiyonunda çak³ma ihtimali oldukça az olmaldr; çak³maya dayankl olmaldr. Aksi halde özellikle kimlik do rulama i³lemlerinde zayet ortaya çkar. Örne in Aa123456!qwerty.asdfgh? ³eklindeki karma³k bir parolann özeti ile Test123 gibi bir parolann özeti ayn çkar ise; kaba kuvvet veya sözlük saldrlar ile deneme yapld nda, Test123 ³eklindeki bir parola ile karma³k ³ekilde parola kullanan bir ki³inin oturumu açlabilir. Özetleme algoritmalar saysal imzalama srasnda kullanlmaktadr. Verinin kendisi imzalanarak gönderilmez, bunun yerine verinin özeti imzalanr böylece hem operasyonel maliyet, hem de ileti³im maliyeti dü³ürülür. En yaygn kullanlan özetleme algoritmalar SHA-1, SHA-2, CBC-MAC algoritmalardr. Özet alma i³lemleri birçok alanda kullanlmaktadr. Özetleme fonksiyonlarnn en çok kullanld alanlar a³a daki gibidir.

26 Bölüm 2. Temel Bilgiler Mesaj Do rulama Kodu (Message Authentication Code MAC) Mesaj Do rulama Kodu'nda bir veri ve özeti hedefe beraber gönderilir. Alc taraf, veriyi özetleyerek, kendisine gelen özet de eri ile kar³la³trr. Özet de erleri ayn ise veri de i³meden ula³m³ demektir [15] Parolalarn Saklanmas Parolalarn saklanmas amac ile de özet fonksiyonlar kullanlr. Böylece parola özeti kaybedilse bile, parolann kendisinin elde edilememesi amaçlanr. Parola özetleri temel olarak i³letim sistemleri ve uygulamalarda a³a da belirtildi i ³ekillerde kullanlabilir. Windows istemci bilgisayarlarnda (SAM ve SYSTEM dosyalarnda) LM veya NTLM özetleri, Microsoft etki alan denetleyicisinde (NTDS.dit ve SYSTEM dosyalarnda) LM veya NTLM özetleri, Linux i³letim sistemlerinde (/etc/shadow) MD5 gibi özetler kullanlr. Veritaban (Oracle, MS SQL gibi) kullanc hesaplar, web uygulamalarna ait kullanc hesaplarna ait parolalar saklanlrken özetleme algoritmalar kullanlr Saysal mza Veri transferi srasnda, göndericinin kimli ini kantlamasn sa lama ve verinin de i³medi ini göstermek için saysal imza kullanlr [16]. Saysal imzalama i³lemi 2 a³amadan olu³ur: Veri bir özetleme algoritmas ile özetlenir. Özetlenmi³ veri göndericinin özel anahtar ile imzalanr. Gönderici taraf, özetleyip imzalad veriyi ve verinin asl halini gönderir. Bunu alan taraf verinin özetini alr; imzalanm³ veriyi göndericinin genel anahtar ile do rular ve bu iki veriyi kar³la³trr. Ayn ise gönderici tarafn do rulu u ve verinin bütünlü ü ispatlanm³ olur.

27 Bölüm 2. Temel Bilgiler 12 Bunun yannda Açk Anahtar Altyaps (Public Key Infrastructure PKI) ile güvenli bir altyap olu³turulurken de özetleme fonksiyonlar kullanlr. Not: Mesaj Do rulama Kodu ile Saysal mza arasndaki en büyük fark; saysal imzann nkar Edilememezlik sa lamasdr Veri Gizlili ini Sa lama Özetleme fonksiyonlarnn kullanm alanlarndan bir di eri de verilerin gizlili inin sa lanmasdr. Raporlardaki veya veri tabanlarndaki verilerin çktlar üzerinde kar³la³trlma yaplmas, analiz i³lemlerinin gerçekle³tirilmesi gibi bir ihtiyaç olabilmektedir. Örne in birbiri ile ili³kili olmayan iki veri tabanndaki Türkiye Cumhuriyeti Kimlik Numaras (TCKN), kredi kart numaras gibi tekil bir alan ortak kullanlyor ancak bu alann üçüncü ³ahsn eline geçmesi istenmiyorsa, bu alan iki veri tabannda ayn ³ekilde özetlenerek, üçüncü ³ahslara verilebilir. Böylece ortak tekil bir veri olu³turulmu³ olur. Verinin (kredi kart numaras gibi) geri döndürülemeyecek ³ekilde saklanmasn isteyen PCI-DSS gibi baz standartlar için özetleme algoritmalar kullanlabilir Veri Boyutunun Küçültülmesi Antivirüs gibi bir çok imza tabanl güvenlik sistemi, zararl aktivite tespit etmeye çal³tklarnda, bu aktivitenin kayna nn zararl olup olmad n veri tabanlarndaki baz bilgiler ile kar³la³trmaya çal³rlar. E er kar³la³trlacak veri çok büyük olursa, bu veriyi saklama maliyeti de yüksek olur. Bu sebeple verinin kendisi de ili verinin özeti ile kar³la³trma yaplr. Bir çok zararl yazlm da kayna nda küçük de i³iklikler yaparak özet de erinin de i³mesini sa lar ve antivirüsleri atlatr Verinin De i³tirilmedi inin Kontrolü Bir çok konuda ele geçirilen verinin de i³tirilmedi inden emin olmak için özetleme algoritmalar kullanlabilir. Bu veriler a³a daki gibi olabilir: Adli bili³im verileri (bir disk imaj, bir dosya veya klasör)

28 Bölüm 2. Temel Bilgiler 13 Sistem (C:\Windows\System32 dizini altndaki) veya kritik dosyalarda (özel anahtarlarn, gizli verilerin tutuldu u dizinlerde) Bir uygulama dosyas veya kod (apk, sürücü, java kodu, ActiveX vb.) Bitlocker, PGP, Truecrypt gibi araçlarla ³ifrelenen diskler veya dosyalar 2.5 Windows ³letim Sistemi ve Microsoft Etki Alan Temelleri Çal³ma Gruplar (Workgroups) Çal³ma Gruplar (Workgroups), tekil olarak çal³an bilgisayar grubudur. Her bilgisayarn yerel kullancs ve gruplar vardr. Bu bilgisayarlar merkezi olarak yönetilmez, da tk bir yaplar vardr. Her bilgisayar ayn de erdedir Etki Alan (Domain) Çok sayda bilgisayarn yönetilmesi için Microsoft tarafndan sunulan yapdr. Her bilgisayarn yerel kullanclar (ve gruplar) olmak ile beraber bu kullanclar sistem yöneticileri tarafndan kullanlrken, bu bilgisayarlara etki alanndaki hesaplar ile oturum açlr. Etki alanndaki nesneleri (bilgisayar, kullanc, grup vb.) yönetmek için Domain Controller ad verilen bir bilgisayar kullanlr Kullanclar ve Bilgisayarlar Kullanc; bir bilgisayarda oturum açabilen herhangi bir varlktr. Temelde tüm güvenlik prensipleri de kullanclarla ili³kilidir. Windows i³letim sistemlerinde iki türde kullanc olabilir, yerel (local) ve etki alan (domain) kullanclar. Yerel bir kullanc bilgisayarda Security Accounts Manager (SAM) veri tabannda (Windows\system32\cong\SAM) tanmldr [17]. Windows temelli tüm bilgisayarlarda ilgili bilgisayardaki kullanclar içeren yerel bir SAM veri taban bulunmaktadr. Genellikle etki alan denetleyicilerinde (DC) yerel SAM veri tabannn bulunmad ve bu nedenle yerel kullancsnn bulunmad dü³ünülür fakat bu yanl³ bir bilgidir. Etki

29 Bölüm 2. Temel Bilgiler 14 alan denetleyicisi dahi olsa, yerel bir SAM veri taban vardr ve bu veri tabannda bulunan kullanclar yalnzca Directory Services Restore Mode'da kullanlabilir. Varsaylan olarak yerel SAM veri tabannda Administrator ve Guest olarak iki kullanc hesab bulunmaktadr. Guest hesab varsaylan olarak devre d³ olarak yer almaktadr. Windows Server 2008 sürümünde Administrator hesab varsaylan olarak etkin halde gelmektedir ve sisteme ilk kez oturum açmakta kullanlr. Windows Vista sürümünde ise Administrator hesab varsaylan olarak devre d³ gelmektedir ve ihtiyaç duyulmas halinde nadiren etkin olarak kullanlr. Di er hesap türü olan etki alan kullancs ise yalnzca bir etki alannn kurulu oldu u ortamlarda tanmldr ve yerel hesaplar ile kar³la³trld nda oldukça fazla sayda özelli i bünyesinde barndrmaktadr. Örnek olarak telefon numaralar, e-posta hesaplar, kurum bilgileri gibi. Etki alan hesaplarna ayrca a üzerindeki kaynaklara eri³ebilme hakk tanmlanabilir. Ayrca etki alan hesaplar a yönetim i³ini kolayla³trr. Etki alan kullanc bilgileri, etki alan denetleyicisi üzerindeki NTDS (Windows\NTDS\ntds.dit) dosyasnda saklanr [18]. Bir bilgisayar Aktif Dizin ortamnda ba³ka bir kullanc türü olarak tanmlanmaktadr. Bu, Aktif Dizin'in gerçekle³tiriminde kullanlan kaltm nedeniyle gerçekle³ir. Bir bilgisayar kullanc snfndan kaltlayan bir nesnedir. Tüm nesneler top snfndan türemi³tir ve bilgisayar nesneleri de kullanc snfndan türemi³tir. Tekil bir bilgisayarda en yetkili kullanc aslnda SYSTEM hesabdr. Ancak Administrators grubu üyelerinin SYSTEM kullancsna geçi³i olabildi i için en yetkili kullanclarn Administrators grubu üyesi kullanclar oldu u söylenebilir. Etki alannda ise en yetkili gruplar Domain Admins ve Enterprise Admins grubu üyeleridir. Domain Admins bulunulan etki alannda yetkili iken, Enterprise Admins ise güven ili³kisi kurulan (trust relationship) di er etki alanlarnda da yetkiye sahip olabilmektedir Gruplar Herhangi bir nedenle bir nesneye eri³mek istenildi inde i³letim sistemi eri³ilmeye çal³lan nesne üzerinde eri³meye çal³an nesnenin izninin olup olmad kontrol edilir. ³letim sistemlerinin ilk tasarmlarnda nesneler üzerinde her bir kullancya tek tek izin atamasnda

30 Bölüm 2. Temel Bilgiler 15 bulunuyordu. Fakat bu i³lemin kullanc saysnn artt durumlarda yönetilmesinin imkansz oldu u görüldü ve bundan sonra izinler ki³ilerden ziyade kullanclara atanmaya ba³land. Gruplara kullanc üyeli i sa lanmasyla da bu problem ortadan kaldrld. Bir gruba kullanclardan ba³ka nesnelerin de üye yaplabilece i aklda bulundurulmaldr. Hatta gruplar da birbirlerine üye olup üyelikten çkarlabilirler. Etki alan denetleyicisi olmayan bilgisayarlarda iki türde grup vardr. lki i³letim sistemi kuruldu unda dahili olarak gelen yerle³ik (built-in) gruplar, di eri ise sonradan yöneticiler tarafndan olu³turulan gruplar SID (Security Identier) Security Identier (SID), bilgisayarlara, kullanclara, servislere ve güvenlik gruplarna verilen benzersiz güvenlik tanmlayclardr [19]. SID de erine sahip olan bir nesne di er nesnelere göre kendisini ayrt eder. Bu sebeple TCKN 'na benzetilebilir. Oturumu açan kullanc hakknda ayrntl bilgi için "whoami" arac kullanlabilir. Bu araç kullanlarak, mevcut kullancnn SID de eri elde edilebilir. ekil 2.3 'te de görüldü ü gibi "wmic" arac kullanlarak da yerel bilgisayardaki tüm kullanclarn SID de eri elde edilebilir. ekil 2.3: SID De erleri Oturum Açma Haklar Oturum açma haklar sisteme oturum açmadan önce gerçekle³tirilen kontrollerdendir ve sisteme kimin ne ³ekilde oturum açabilece ini veya oturum açmasnn engellenece i belirlenebilir. Bir kullancnn sisteme interaktif olarak klavye aracl yla, a üzerinden veya servis olarak oturum açp açamayaca belirlenebilir. Her bir oturum açma metodu için bir çift oturum açma metodu vardr. Bunlardan biri belirlenen oturum açma metoduna

31 Bölüm 2. Temel Bilgiler 16 izin verilmesi (allow) iken di eri oturum açlmasn engellemektedir (deny). Bir kullanc yada grubun bir bilgisayarda oturum açmas engellenmek isteniyorsa, ilgili kullanc o bilgisayarda oturum açmay engelle (Deny logon locally) hakknn atanmas yeterli olacaktr. Herhangi bir kullanc ya da grubu hak atamasnda bulunurken Engelle (Deny) haklarnn, zin Ver (allow) haklarna göre önceli inin oldu u unutulmamaldr. Dikkatli ³ekilde atanmayan kullanc haklar, hakk atayan kullancnn da sisteme eri³iminin engellenmesine neden olabilir. Bu tarz yanl³ kullanmlara dikkat etmek gerekmektedir. Önemli baz oturum açma izinlerinden bahsedilecek olursa [20]; Access this computer from the network (SeNetworkLogonRight): Kullanclarn a üzerinden sisteme ba lanmasna izin verir. Varsaylan Ayar: Administrators, Power Users, Users, Everyone, Backup Operators. Allow logon through terminal services (SeRemoteInteractiveLogonRight): Uzak Masaüstü Ba lants (RDP) ile sisteme ba lanabilecek kullanclar tanmlar. Varsaylan Ayar: Administrators, Remote Desktop Users. Log on locally (SeInteractiveLogonRight): Kullanclarn interaktif olarak klavye ile sisteme oturum açmalarna izin verir. Varsaylan Ayar: Administrators, Power Users, Users, Guest, Backup Operators. Deny access to this computer from the Network (SeDenyNetworkLogonRight): Bu bilgisayara a üzerinden ba lanlmasn engeller. Deny logon locally (SeDenyInteractiveLogonRight): Bir kullancnn interaktif olarak oturum açmasn engeller. Deny logon through terminal services (SeDenyRemoteInteractiveLogonRight): Uzak Masaüstü Ba lants ile oturum açlmasn engeller Ayrcalklar Sisteme oturum açldktan sonra kullanclarn sistem genelinde yapabilecekleri i³lemleri kontrol eden haklardr. Oturum açma haklar kullanc sisteme oturum açma a³amasnda de erlendirilir. E er kullancnn sisteme oturum açma hakk varsa ve ba³arl ³ekilde oturum açlm³sa, kullanc artk kendisine atanan ayrcalklar ile sistemde ne gibi i³lemleri

32 Bölüm 2. Temel Bilgiler 17 yerine getirebilece ine izin verilir. Güvenlik açsndan önemli oldu u dü³ünülen ve herhangi bir kullancya atanrken üzerinde dü³ünülmesi gereken ayrcalklardan a³a daki gibidir [21]: Back up les and directories (SeBackupPrivilege): Bu ayrcal a sahip olan kullancnn tüm nesne ve dosyalara eri³me hakk vardr. Eri³ilmeye çal³lan dosyann eri³im izinlerinin ne oldu u göz önünde bulundurulmaz. Bu ayrcal n tannd kullancnn tüm dosyalar okuma hakk vardr denilebilir. Create a token object (SeCreateTokenPrivilege): Bu ayrcalk, tanmland kullancya herhangi bir kullanc ya da grup için jeton (security token) olu³turma hakk tanr. Bu ayrcal n tanmlad kullanc o bilgisayar üzerinde kendisini herhangi bir kullancym³ gibi gösterebilir. Debug programs (SeDebugPrivilege): ³letim sistemi için en hassas ayrcalklardan biridir. Bu ayrcalk ba³ka bir kullancya ait de olsa istenilen prosesi debug etme izni verir. Bu ayrcalk tanmlanan kullancnn istedi i prosese kod enjekte etme hakk vardr ve kod enjekte edilen proses, prosesi ba³latan kullancnn haklar ile çal³r. Parola özet de erlerini çalan programlarn ço u bu ayrcal a ihtiyaç duyarlar. Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege): Etki alannda geçerli olan bu ayrcal a sahip olan bir kullancnn yetki devri için güvenildi i anlamna gelir ve yetki devrine güvenilen bir kullancnn istedi i jetonu (security token) üretme hakk vardr. Load and unload device drivers (SeLoadDriverPrivilege): Bu ayrcal a sahip olan kullanclar sisteme cihaz sürücüsü yükleme hakkna sahiptirler. Bu ayrcalk ile sisteme yüklenecek herhangi bir kod do rudan kernel seviyesinde çal³trlr ve herhangi bir güvenlik kstlamas olmadan ilgili kod çal³trlabilir. Restore les and directories (SeRestorePrivilege): Herhangi bir dosya ya da register anahtarna yazma izni verir. Take ownership of les or other objects (SeTakeOwnershipPrivilege): Eri³im izinlerine bakmazszn herhangi bir nesnenin sahiplenilebilmesine izin verir.

33 Bölüm 2. Temel Bilgiler 18 Her kullancya her bilgisayarda özel olacak ³ekilde tanmlanan kullanc haklar ve ayrcalklar - ileride daha detayl olarak incelenecek olan - kullancya ait Security Access Token' (SAT) içerisinde bulunurlar ve kullanc ilgili bilgisayarda ne gibi hak ve ayrcalk tannd nn tanmlanmasnda kullanlrlar. Her bir kullanc ya da grup için tanmlanan hak ve ayrcalklar her bir bilgisayara özeldir ve bir bilgisayara özel olarak tanmlanr. O anda oturum açlan kullancya ait olan ayrcalklar whoami /all komutu ile listelenebilir. Yukardaki resimde de görüldü ü gibi, komut satr yönetici olarak açld nda (Run as administrator), daha fazla ayrcal a eri³im sa lanabilmektedir Security Access Token (SAT) Security Access Token (SAT) Windows i³letim sistemlerinde oturum açan kullancy tanmlamada, kullancnn üye oldu u gruplar belirlemede ve kullancya atanan ayrcalklar belirlemekte kullanlr [22]. Kimlik do rulama a³amasndan geçen her bir kullanc için bir jeton (token) olu³turulur ve bu kullancnn çal³traca her bir proses ve i³ parçac (thread) kullancya ait olan jetonun (token) bir kopyas ili³tirilir. SID bilgisayarlara, kullanclara, servislere ve güvenlik gruplarna verilen benzersiz güvenlik tanmlayclardr. SID de erine sahip olan bir nesne di er nesnelere göre kendisini ayrt eder. Bu sebeple TCKN 'na benzetilebilir. SAT ise böyle bir durumda ehliyete benzetilebilir. Artk tüm ehliyetlerde TC Kimlik Numaras bulunmaktadr ve ayrca ehliyetin sahibi olan kullancnn hangi araçlar sürmeye izninin oldu u bilgilerde ehliyet üzerinde bulunmaktadr. Aynen bunun gibi her bir kullancya özel üretilen SAT de eri kullanc adna çal³trlan her bir proses ve i³ parçac na (thread) ili³tirilir ve SAT de erine baklarak kullancnn hangi gruplara üye oldu u belirlenir. Böylece kullancnn bir kayna a eri³im hakk olup olmad belirlenir ve böylece kontrollü olarak kaynak kullancya kullandrlr. Sistem üzerinde kendisine tannan ayrcalklara göre de i³iklik yaplmasna izin verilir. Bilgisayar tarafndan uygulanacak tüm kullanc hakk kstlar yada izinler hakknda bilgi, üretilen jeton (token) içerisinde bulunur ve bilgisayar yalnzca kullanc jetonuna bakarak kullandraca kaynaklar belirleyebilir. Bu durum çal³ma osine girmeden önce veya güvenli bir odaya girmeden önce personele verilen kimlik kartn ilgili alanlara

34 Bölüm 2. Temel Bilgiler 19 okutup ilgili ki³iye tannan haklara göre ilgili alana girmeye izin verildi i gibi, i³letim sistemi de herhangi bir kayna a eri³meye çal³t nzda ilgili kullancya ait olan SAT de erini talep edecektir ve SAT de erinde bulunan bilgilere göre ilgili kayna kullanma izni verecek ya da engelleyecektir. ekil 2.4 'te de görüldü ü gibi bir kullancya ait bütün jetonlar (Security Access Token SAT) elde edilebilmek için whoami kullanlabilir. Kullanc ve grup bilgileri haricinde, kullancnn sahip oldu u ayrcalklar da ekil 2.5 'te görüldü ü gibi elde edilebilir. ekil 2.4: Kullancnn Kimlik ve Grup Bilgilerinin Listelenmesi Kullancnn SID de eri, üye olduklar gruplarn SID de eri ve kullanclarn ayrcalklar kullancnn jetonunu olu³turur. Kullanc oturum açt nda bu bilgiler olu³turulur ve kullanc bir proses çal³trd nda jetonundaki bilgilerine baklarak o prosesi çal³trp çal³tramayaca kontrol edilir. Çal³trma hakk varsa, kullancnn jetonu, prosese eklenir Zorunlu Bütünlük Kontrolü (MIC) Kenneth J. Biba tarafndan 1977 ylnda geli³tirilen Biba bütünlük modeli farkl güvenlik seviyesine sahip nesnelere bütünlü ün korunmasn garanti etmek için geli³tirilmi³ eri³im kontrol kurallardr. Burada nesne bütünlü ünden kastedilen yetkisiz kullanclarn sistemde veri de i³ikli i yapmasnn engellenmesidir [23]. Bunun için sistemdeki nesnelere

35 Bölüm 2. Temel Bilgiler 20 ekil 2.5: Kullancnn Ayrcalk Bilgisinin Listelenmesi güvenlik seviyelerine snandrlrlar. Snandrlan bu nesnelere güvenlik seviyelerini tanmlayan etiketler (labels) eklenir ve eri³ilmeye çal³lan nesnelerin etiket de erlerine göre eri³ime izin verilir ya da reddedilir. Biba bütünlük kontrol modeli, farkl etiket de erlerine sahip bu nesnelere bütünlü ün korunabilmesi için eri³imin nasl gerçekle³mesi gerekti ini tanmlayan kurallar belirler. Örne in, Biba kontrol modeline göre dü³ük güvenlik seviyesine sahip bir etiket ile çal³an bir kullanc, yüksek güvenlik seviyesine sahip bir etiket ile korunan bir nesne üzerinde de i³iklik yapma hakk yoktur (No writeup). Fakat bunun tersine izin verilir. Yani yüksek seviyedeki bir kullanc, dü³ük seviye bir nesne üzerinde de i³iklik yapma hakkna sahiptir. Biba kontrol modeline göre ayn zamanda yüksek güvenlik seviyesine sahip bir kullanc, dü³ük seviyeli bir nesne üzerinde okuma hakk yoktur (No Read-Down) Windows Vista ile birlikte gerçekle³tirilen Zorunlu Bütünlük Kontrolü (Mandatory Integrity Control MIC) sistemi Biba bütünlük kontrol modelinin ksmi olarak gerçekle³tirilmesidir. Burada her bir korunabilen nesneye farkl güvenlik seviyeleri tanmlanm³tr ve her nesnenin güvenlik seviyesi kendilerine atanan etiketler ile belirlenip kontrol edilir. Windows'ta genel olarak dört farkl güvenlik seviyesi Low, Medium, High ve System etiketleri ile tanmlanm³tr ve her korunabilen nesneye bu etiketler otomatik olarak ili³tirilir. Etiket ili³tirilmemi³ bir nesnenin güvenlik etiketi Medium olarak kabul

36 Bölüm 2. Temel Bilgiler 21 edilir. Biba kontrol modelinin ksmi olarak gerçekle³tirilmesi, Windows'ta güvenlik seviyesi dü³ük olan bir nesne üzerinde okuma i³lemine izin verilir. Biba modelinde bu eri³imin de engellenmesi gerekmektedir. Windows yalnzca güvenlik seviyesi dü³ük bir kullancnn yüksek seviyeli bir nesne üzerinde de i³iklik yapmasn engeller (No write-up) Korunabilen her nesneye etiket de eri atanr. Etiket de eri atanabilecek nesnelere klasörler, dosyalar, registry anahtarlar, payla³mlar, prosesler, i³ parçacklar (thread), servisler, Aktif Dizin nesneleri örnek olarak verilebilir. Her bir nesneye atanm³ etiket de eri System Access Control List (SACL) içerisinde saklanr. Herhangi bir proses çal³trld nda, çal³trlan her bir prosese prosesi çal³tran kullancnn SAT de eri de ili³tirilir. SAT içerisinde kullancy tanmlayan SID de eri, üye oldu u gruplarn SID de erleri, kullancya ait ayrcalklar tanmlanm³tr. Windows Vista ve sonrasnda SAT de eri içerisinde ayrca kullancnn MIC etiketini tanmlayan bir SID de eri de bulundurulur. E er standart bir kullanc olarak bir proses çal³tryorsanz, MIC etiketiniz Medium olarak belirlenir. E er yönetici haklarna sahip bir kullanc ile bir proses çal³trrsanz atanacak etiket de eri High olacaktr. Internet Explorer veya kstl haklarla sistemde çal³masn istedi iniz bir programn üretece i MIC etiketi Low olacaktr. Sistemde çal³an servisler genellikle System MIC etiket de eri ile çal³rlar. Windows'ta herhangi bir proses kendi MIC etiketi ile ayn seviyede ya da daha dü³ük seviyeli de il ise ilgili nesne üzerinde silme ve de i³tirme i³lemlerini gerçekle³tiremez. Yani kendi MIC etiketi seviyesinden yüksek bir etiket de erine sahip bir nesne üzerinde silme ve de i³tirme izni yoktur. (No write-up). Fakat MIC bu nesnelere üzerinde okuma hakkn engellemez, yani nesnenin MIC etiket de eri yüksek dahi olsa, dü³ük seviyeli bir proses bu nesneye eri³ebilir ve ayn zamanda bu nesneyi çal³trabilir. MIC buna engel olmaz. MIC yalnzca nesnenin silinmesini ya da de i³tirilmesini engeller. Ayn zamanda nesnenin okunmasnn da önüne geçilmek isteniyorsa, bu NTFS izinleri ile gerçekle³tirilebilir. NTFS izinlerine ilerleyen ksmlarda de inilecektir. MIC, NTFS izinlerinden önce de erlendirilir. Mesela bir kullanc, bir nesne üzerinde NTFS izinleri olarak Full Control iznine sahip olsa dahi, üzerinde de i³iklik yapmaya çal³t nesnenin MIC etiketi kullancdan yüksek ise, herhangi bir de i³ik yaplmasna sistem izin vermeyecektir. Dolaysyla, kullancnn ilgili nesneyi silme yada de i³tirme izni bulunmayacaktr. MIC ayn zamanda dü³ük seviyeli bir etiket de erine sahip bir prosesin yüksek seviyeli bir nesneyi okumasn veya çal³trmasn engellemez. Fakat

37 Bölüm 2. Temel Bilgiler 22 High etiketli bir proses Low etiketli bir nesneyi çal³tryorsa, çal³an nesne artk High MIC etiketi ile çal³acaktr. Internet Explorer'n sistem üzerinde de i³iklik yapabilece i alanlarn kstlanmas adna varsaylan olarak Low etiket de eri ile sistemde çal³trlr. MIC ayn zamanda dü³ük seviyeli bir etiket de erine sahip bir prosesin yüksek seviyeli bir nesneyi okumasn veya çal³trmasn engellemez. Fakat High etiketli bir proses Low etiketli bir nesneyi çal³tryorsa, çal³an nesne artk High MIC etiketi ile çal³acaktr Kullanc Hesap Denetimi (UAC) ³letim sisteminde i³lem yapmaya yetkili olan ve olmayan kullanclarn denetimi amac ile User Account Control (UAC) özelli i kullanlmaktadr [24]. 4 adet seviyesi vardr. En dü³ük seviyede herhangi bir uyar ile kar³la³lmazken en az güvenilir olan seviyedir. En yüksek seviyede ise kullancya uyar verilerek yetkilendirme istenir Kimlik Do rulama Yöntemleri Windows i³letim sisteminde yerel kullanc hesaplarna ait bilgilerin tutuldu u yer SAM (Security Account Manager) dosyasdr. SAM dosyas %SystemRoot%\System32\Cong klasörü altnda bulunur [25] ve i³letim sistemi çal³r vaziyette iken bu dosyaya eri³imi kontrolünde tutar. Bundan dolay i³letim sistemi çal³yorken (çal³ma annda run time) SAM dosyas (ve ayn zamanda SYSTEM dosyas) üzerinde kullanclar herhangi bir i³lem yapamazlar. SYSTEM dosyasnda ise bir sistem ile ilgili bir çok verinin yannda SAM dosyasnda tutulan kullanc parolalarnn ³ifrelenmesinde kullanlan SYSKEY bilgisi de tutulur. SYSTEM dosyas da %SystemRoot%\System32\Cong klasörü altnda bulunur. Güvenlik önlemi olarak SAM dosyas içerisinde kullanclara ait parola bilgileri açk ³ekilde tutulmaz. ³letim sistemi versiyonuna ba l olarak kullanc parolalarn NTLM veya LM özeti fonksiyonuna sokarlar. Bu fonksiyonun sonucunu da SYSTEM dosyas içerisinde bulunan SYSKEY ile ³ifreler ve bu ³ekilde SAM dosyasnda tutar. SAM dosyasnda tutulan kullanc bilgileri format a³a daki gibidir. testhesabi: :0F20048EFC645D0A179B4D5D6690BDF3:1120ACB74670C7DD46F1D3F5038A5CE8::: En ba³ta kullanc ad (testhesabi), daha sonra bu kullancya ait ipucu bilgisi (yukardaki örnekte olarak belirtilen ksm kullancnn ipucu bilgisinin olmad n gösterir).

38 Bölüm 2. Temel Bilgiler 23 0F ile ba³layan ilk ksm kullanc parolasnn sistemde tutulan LM özet de erini, 1120ACB... ile ba³layan ikinci ksm da parolann sistemde tutulan NTLM özet de erini gösterir. LM de erinin bulundu u parola özet de erleri kolay bir ³ekilde tespit edilebildi i için Windows Vista ve sonrasnda varsaylan olarak tutulmamaktadr, sadece NLTM parola özetleri saklanmaktadr. Windows Vista ve sonrasnda LM özetli olan ksm AAD3B435B51404EEAAD3B435B51404EE olarak saklanmaktadr. Etki alanndaki kullanclarn parola özet bilgisi ise, etki alan denetleyicisindeki NTDS.dit dosyasnda bulunmaktadr. Tutulan bu parola özetleri bir istemcideki gibi LM ve NTLM halinde disk üzerinde saklanmaktadr. Microsoft ortamnda a üzerinden kimlik do rulamas için kullanlan yöntemlerden en önemlileri NTLMv2, Kerberos ve akll kartlar ile kimlik do rulamadr. NTLMv2, NTLM'- in daha güvenilir algoritmalar ve admlar ile beraber kullanld bir protokoldür. Kerberos ise etki alan denetleyicisinden alnan ksa süreli jetonlarn kullanmna dayanr. Akll kartlar ise a üzerinden kimlik do rulamann en güvenilir yöntemi olup inkar edilememezlik sa lar Oturum Açma Süreci Windows i³letim sistemi çekirdek moduna ait temel bile³enler yüklendikten sonra kullanc moduna ait bile³enler yüklenir. Bu bile³enlerden birisi de etkile³imli oturum açma (interactive logon) i³lemi içi gereken bile³enlerdir. Etkile³imli oturum i³lemi için ilk çal³an proses Smss.exe prosesidir. Sonrasnda her oturum için yeni bir Smss.exe prosesi olu³ur. Her kopya Smss.exe prosesi de Csrss.exe ve Winlogon.exe proseslerini olu³turur ve kendilerini sonlandrr. Örne in, ekil 2.6 'te proses ID de eri 368 olan Smss prosesi; proses ID de eri 488 ve 624 olan iki adet kopyasn olu³turmu³ ve bu prosesler ba³ka prosesleri olu³turarak varlklarn sona erdirmi³tir. Yeni oturum açma srasnda kimlik bilgisi sa layclar (Credential Providers CP) kullanlr [26]. LogonUI ad verilen prosesi, kimlik bilgisi sa layclarn yükler ve kayt defterinde bulunan HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\ Credential Providers anahtarnda listeler. Bu kimlik bilgisi sa layclar, LogonUI prosesine oturum açmak için gerekli olan arayüz bile³enlerini (kullanc ad ve parola bilgisinin

39 Bölüm 2. Temel Bilgiler 24 ekil 2.6: Windows 7 ³letim Sisteminde Boot ³lemi Sonras Çal³an Prosesler girilece i metin kutusu gibi) belirtir. LogonUI prosesi de gerekli arayüzü (Windows oturum açma arayüzü) olu³turur. Kullanc bu arayüze kimlik bilgilerini (kullanc ad, parola,... gibi) girer ve bu bilgiler önce Winlogon sonra da LSASS (Local Security Authority Subsystem Service) prosesine gönderilir. LSASS.EXE prosesi genel olarak kimlik do rulama ve yetkilendirme (jeton olu³turma gibi) süreçlerinde görev alr. Kimlik do rulamas srasnda güvenlik destek sa layclar (SSP) kullanlmaktadr. Bu sa layclardan en önemlileri ve kullandklar DLL'ler ³u ³ekildedir: Credential Security Support Provider credssp.dll Digest Security Support Provider Digest.dll Kerberos Security Support Provider kerberos.dll Negotiate Security Support Provider lsasrv.dll Negotiate Extensions Security Support Provider negoexts.dll NTLM Security Support Provider msv1_0.dll PKU2U Security Support Provider pku2u.dll Schannel Security Support Provider Schannel.dll Live Security Package LiveSSP.dll

40 Bölüm 2. Temel Bilgiler 25 Terminal Services Package tspkg.dll Bu paketler LSA (Local Security Authority) tarafndan belle e yüklenirler. Yüklenecek DLL dosyalar da kayt defterinde HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ Security Packages altnda listelidir. LSA tarafndan belle e yüklenen DLL, kendisine iletilen açk metin ³ifreli olarak bellekte saklar. Ayrca bu bilgilerin de³ifre edilebilmesi için de bellekte ³ifreleme anahtar da saklanr. 2.6 Szma Testleri Bu ba³lk altnda siber saldrlarn artmas ile ön plana çkan szma testlerinin amaçlar, kapsamlar, yöntemleri ve szma testlerinde kullanlan temel araçlar incelenecektir Amac Szma testleri, kurumlardaki varlklarn (sistem, uygulama veya insan olabilir) saldrgan bak³ açs ile zayklarnn tespiti ve istismar ile ele geçirilmesini veya zarara u ratlabilece inin gösterilmesini amaçlar. Kurumlar szma testleri sayesinde zayf yönlerini görecekleri gibi, güçlü noktalarn, kurumsal politikalarn, süreçlerini, yaplarn iyile³tirmek ve BT tarafndaki için ROI (Return of Investment) bir girdi sa lam³ olurlar Kapsamlar Szma testleri çe³itli kapsamlarda gerçekle³tirilebilir. a³a daki gibi sralanabilir. Bu kapsamlardan en önemlileri ç A ve D³ A : ç a üzerinden veya internet üzerinden çevrimiçi veya çevrim d³ yollar ile olabildi ince fazla bilgi edinilmeye çal³lr. Bu testlerde kurum çal³anlarn kimlik bilgileri ve bu ki³ilerin zaaar, kuruma ait servislerin açk portlar, servislerdeki zayetler, kuruma ait dokümanlar ve dokümanlar içerisinden bilgiler elde edilmeye çal³lr.

41 Bölüm 2. Temel Bilgiler 26 Etki Alan Sistemleri: Kurumlarn iç a n (ve özellikle Microsoft tabanl sistemlerini) yönettikleri ana sistemler (Domain Controller) ele geçirilmeye çal³lr. Bu testlerde kongürasyon ve sistemlerdeki zayetlerin tespiti ve mümkünse istismar, bu sistemler üzerinden di er sistemlerin ele geçirilmesi, ele geçirilen sistemler ve a üzerinden parola özeti ve parola bilgisi ba³ta olmak üzere bilgi toplama, etki alan yöneticilerinden birisinin haklarn ele geçirme ve tüm etki alanndaki sistemlere yaylma admlar gerçekle³tirilir. Bunun yannda denetimlerde parola politikas, koruma mekanizmalarnn güvenli i, grup ilkeleri, sistemlerdeki skla³trmalar, nesne eri³im kontrolleri, ziksel güvenlik gibi konular da incelenir. Web Uygulamalar ve Web Sunucular: ç a daki veya internete açk olan web uygulamalarnn ve web sunucular üzerindeki açklklar otomatik araçlar veya manuel olarak tespit ve istismar edilerek yanl³ alarmlar (false pozitif durumlar) en aza indirilir. Bu testlerde yama eksiklikleri, XSS gibi girdi veya çkt kontrol eksiklikleri, SQL enjeksiyonu gibi enjeksiyon zayetleri, kimlik do rulama zayetleri, oturum yönetimi ve yetkilendirme zayetleri, gereksiz metotlar, veri szdrma açklklar ile oldukça sk kar³la³labilir. leti³im Altyaps: Bu testlerde ileti³im altyapsndaki sistemlerin (IPS veya içerik ltreleyicileri gibi) güvenli i, a topolojisinin de erlendirmesi, eri³im güvenli i konular incelenir. Veri tabanlar: Kurumda bulunan veri tabanlar (MSSQL, Oracle vb.) veya bu veri taban uygulamalarnn üzerinde çal³tklar sunucular üzerindeki yaplandrma ayarlar, skla³trmalar, zayetler, kimlik do rulama mekanizmalar, eri³im ve yetkilendirme kontrolleri, izleme veya yedekleme gibi genel de erlendirmeler gerçekle³tirilir. Sosyal Mühendislik: En zayf halka olarak tanmlanan insan faktöründeki zayetleri ortaya çkarmay amaçlanr. Sahte mail yollama, telefon ile arama, ³irket içerisine yetkisiz olarak giri³ yapabilme gibi yöntemler kullanlabilir. Ana amaçlar ³irket a na dahil olmak, kurum hakknda bilgi edinmek, kullanc parolalarn ele geçirmektir. Bunun yannda di er kapsamlar a³a daki gibi sralanabilir. Linux Sistemler

42 Bölüm 2. Temel Bilgiler 27 E-posta Sistemleri DNS Sunucular DHCP Sunucular Aktif Cihazlar (Switch, router vb.) Güvenlik Duvar VPN Cihazlar Sanalla³trma Sistemleri Kablosuz A DOS/DDOS Kaynak Kod Analizi ATM Sistemleri SCADA Sistemleri Yöntemleri Szma testleri temel olarak 3'e ayrlabilir [27]: Kara Kutu Testi (Black Box): Bilgi olmadan sadece kurum ad bilgisine sahip olarak yaplr. Bu tür szma testinde, sadece kurumun d³ a na eri³im vardr. Beyaz Kutu Testi (White Box): IP bloklar, a mimarisi, FW/IPS detaylar gibi bilgiler verilerek yaplr. Bu tür szma testinde, kurumun iç i³leyi³i ve iç sistemleri szma testi yapan tarafndan tam olarak biliniyordur veya bu bilgiler kendisine veriliyordur. Gri Kutu Testi (Gray Box): Kurum içi standart çal³an prolindeki bir ki³inin sahip olabilece i bir bilgi ile yaplr. ç/personel szma testi olarak da dü³ünülebilir. Bu tür szma testinde, kurumun baz sistemlerine ksmen eri³im vardr. Bunun yannda kuruma verilen bilgiye göre ise 2'ye ayrlabilir.

43 Bölüm 2. Temel Bilgiler 28 Haberli Testler: Szma testinin yaplaca n kurumdaki birçok ki³i bilir. Habersiz Testler: Snrl sayda yönetici bilir. Böylece kurumun saldr kar³snda tepki/cevap yetene i de görülmü³ olur. habersiz szma testi yaplr. Özellikle sosyal mühendislik testlerinde Raporlanmas Szma testlerinin en önemli çkts raporlardr. Szma testi raporu yönetici veya teknik rapor olmak üzere 2 formatta hazrlanr. Yönetici özetinde genel bilgiler yer alrken, teknik raporda ise bulgular ile ilgili detayl bilgiler yer alr [10]. Teknik szma testi raporunda olabilecek alanlar temel olarak a³a daki gibi sralanabilir. Bulgu ID: Bulgunun takibi için kullanlan ID de eridir. Firmaya veya projeye özel olarak ayarlanabilir. Bulgu Kategorisi: Bulgunun yer ald kategoriyi belirtir. Bulgu Ad / Ba³l : Bulgunun genel adn belirtir. Bulgu Özeti: Bulgunun çok genel tanm verilir. Bulgu Detay: Bulgunun teknik detay belirtilir. Resim, kaynak kod vb. içerebilir. Elde Edilen Bilgi: Bulgu sonucunda aç a/ortaya çkan bilgi belirtilir. Kritiklik: Bulgunun önem derecesi belirtilir. CIA gibi bile³enlere etkisine göre bir metodolojiye (DREAD gibi) göre de derecelendirme gerçekle³tirilebilir. Tahmini Kapatlma Süresi: Bulgunun kapatlma süresi belirtilir. Bu madde sistem yöneticileri ile beraber belirlenerek bulgunun kapatlmasnn takibi için açlan talebin son tarihi olarak belirlenebilir. Etkisi: Bulgunun etkisi belirtilir. Örnek: Hassas Bilgilerin f³a Edilmesi, Bilgi f³as, Yetkisiz Eri³im, Hizmet D³ Brakma, ³letim Sistemini Ele Geçirme, Standartlara (PCI vb.) Uyumsuzluk vb. Saldrgan Proli: Kullancnn proli belirtilir. Kullanlan Araç: Bulgunun aç a çkarlmas srasnda kullanlan araçlar belirtilir.

44 Bölüm 2. Temel Bilgiler 29 Etkilenen Bile³en: Bulguya sahip olan bile³en belirtilir. Örnek: Etki alanndaki bilgisayarlar, kurum personeli, /24, PC-Ali,... Port / Servis: Bulguya sahip olan bile³enin portu/servisi belirtilir. Baz kategorilerde bu alan kullanlmayabilir. Çözüm Önerisi: Bulguyu kapatmak için gerçekle³tirilmesi tavsiye edilen çözüm önerisi belirtilir. Çözüm Referans: Çözüm önerilerine yönelik ba lantlar belirtilir. Teknik szma testi raporu PDF veya Word olarak hazrlanmasnn yannda, Excel olarak da bir ek halinde hazrlanabilir. Yönetici özetinde ise üst düzey kritiklik seviyesinde olan bulgulardan bahsedilerek kurumun güvenlik durumu ortaya konulur. Ayrca bir takm istatistiksel ve görsel bilgiler ile de test sonuçlar özetlenebilir. Szma testi raporunda bulunabilecek grakler a³a daki gibi olabilir. Kritikli ine göre bulgu adetleri Kategorisine göre bulgu adetleri Kategori ve kritikli ine göre bulgu adetleri Etkisine göre bulgu adetleri Kullanc proline göre bulgu adetleri Eri³im noktasna göre bulgu adetleri Szma testleri raporunda bulunmasa bile szma testi bulgularnn takibi ve do rulamas için a³a daki alanlar da kayt altna alnabilir. Bulgu Takip Talep ID: Szma testinin yapld taraf (banka gibi) tarafndan bulgunun kapanmasn takip etmek amac ile ilgili ekibe açlm³ talep ID de eridir. Test Senaryosu: Bulgu do rulamas srasnda gerçekle³tirilebilecek admlar belirtilir. Saldr Referans: Saldrnn gerçekle³tirilmesine yönelik ba lantlar belirtilir. Bu alan rapor içerisinde olmasa da szma testi ekibinin elinde olmas tavsiye edilebilir.

45 Bölüm 2. Temel Bilgiler Araçlar Szma testlerinde en çok kullanlan araçlar ve betikler a³a daki gibi sralanabilir. Aircrack-ng [28] Aireplay-ng [29] Airodump-ng [30] Arp-scan [31] Beef [32] BurpSuite [33], ZAP [34] Cain & Abel [35] Crunch [36] Cewl [37] Dig, Host, Nslookup Dmitry [38] DNSEnum [39] Dsni [40], UCSni [41] Esedbtools [42] Ettercap [43] Exiftool [44] Evilgrade [45] Fierce [46] Flashlight [47] FOCA [48] Harvester [49]

46 Bölüm 2. Temel Bilgiler 31 Hping3 [50] Httrack [51] Hydra [52] John the Ripper [53] Kacak [54] Kismet [55] Macof Maltego [56] Medusa [57] Metasploit Framework [58]; Core Impact [59] Mimikatz [60] Ncat/Nc [61] Ncrack [62] Nessus [63], OpenVAS [64], Nexpose [65] Netsparker [66], Acunetix [67], WebInspect [68] Nikto [69] Nmap [70] Ntdsextract [71] Ophcrack [72] Powershell Proxychain [73] Pth-winexe [74] Putty [75] Recon-ng [76]

47 Bölüm 2. Temel Bilgiler 32 Samdump2 [77], Bkhive [78] SET [79] Shellter [80] Shodan [81] Snmpbulkwalk [82] SnmpCheck [83] SNMPwalk [84] Sqlcmd [85] Sqlmap [86] SSL Strip [87] SSLscan [88] Sysinternals (psexec, procdump,...) [89] Telnet UPX [90], Mpress [91], PesPIN [92] Veil-Evasion [93] w3af [94] WCE [95] Whois Windows-Exploit-Suggester [96] Wireshark [97],Tcpdump [98] Wmic [99]

48 Bölüm 2. Temel Bilgiler Metasploit Framework Szma testlerinde kullanlan en önemli araçlardan birisi olan Metasploit Framework (MSF) [100], bir çok szma testi aracn ve modülünü içerisinde barndran bir platformdur. Bu araçlar ile açklklar tespit edilebilir, sistemler ile ilgili bilgi toplanabilir, zayetler istismar edilebilir, zararl yazlmlar hazrlanabilir. MSF tarafndan sunuculan msfconsole, armitage, msfcli adl bir çok arayüzü vardr. Metasploit Framework içerisinde en çok destek gören ve tercih edilen arayüz Msfconsole`dur. Msfconsole, MSF içerisindeki modülleri tek bir merkezden yönetmeye yarayan, iyi dokümante edilmi³ ve i³letim sistemi komutlarna (ifcong, ping gibi) eri³im sa layabilen konsoldur. Metasploit Framework tarafndan sunulan en önemli özellik Meterpreter ad verilen Payload'dur. Meterpreter RAM belle inde çal³an ve disk üzerinde bir iz brakmayan, i³letim sistemi komut satrndan gerçekle³tirilemeyecek i³lemleri içerisindeki yükledi i eklentiler sayesinde kolay bir ³ekilde gerçekle³tirebilen, hedef ile arasnda ³ifreli bir kanal olu³turan özel bir komut satrdr. 2.8 Tez Çal³masnn Kapsam Etki alan ortamna gerçekle³tirilebilecek saldrlar ve bu saldrlara kar³ alnabilecek önlemler detayl olarak incelenmi³tir. Bu çal³ma da gösteriyor ki saldrlar ve alnacak önlemler bir yar³ içerisindedir. Alnacak her yeni önleme kar³ farkl bir saldr yöntemi, her yeni bir saldr yöntemine kar³ da yeni bir önlem ortaya çkmaktadr. Hazrlanan bu çal³mada hem etki alanna kar³ gerçekle³tirilen saldrlar için bir metodoloji sunulmu³ ve hem de saldrlara kar³ alnmas gereken önlemler anlatlm³tr.

49 Bölüm 3 lgili Çal³malar Kurumlarn ve organizasyonlarn bilgi güvenli inin sa lanmas konusunda birçok farkl standart ve metolodoji ara³trmaclar tarafndan önerilmi³tir. Bunlar temel olarak a³a daki gibi ikiye ayrlabilir. Bir kurum güvenlik politikasnn geli³tirilmesine (dokümantasyonun yo un oldu u ve kullanc farkndal nn artrlmasna) yönelik çal³malar Kurumun bili³im sistemlerine yönelik teknik çal³malar 3.1 Kurumsal Bilgi Güvenli i ve COBIT Bu çal³mada [101] bilgi güvenli i kavramlarna genel olarak de inilmekle birlikte bilgi güvenli ini zaafa u ratan popüler tehditler açklanm³tr. Kurumsal bilgi güvenli i ve standartlar kabaca de erlendirilmi³ ve kurumlarda risklerin önlenmesinde, bilgi güvenli i farkndal nn önemi ve olu³turma yöntemleri ile ilgili tavsiyeler sunulmu³tur. Çal³mada BGYS (Bilgi güvenli i yönetim sistemi) ve kurulum admlar detayl bir ³ekilde açklanm³ ve BGYS kurulumu için gerekli faaliyetlerinin neler oldu u, nasl uyguland, uygulamalar srasnda kar³la³lan sorunlar ve i³ süreklili inin sa lanmasnda izlenen yöntemler açklanm³tr. 34

50 Bölüm 3. lgili Çal³malar Kurumsal Bilgi Güvenli inde Zayet, Saldr Ve Savunma Ö elerinin ncelenmesi Bu çal³mada [102] kurumsal bilgi teknolojilerinde sk kar³la³lan güvenlik sorunlar özellikle kök nedenleri üzerinde durularak teknik olarak incelenmi³tir. Ara³trmada, bilgi güvenli i alannda hizmet veren bir ³irketin yllar arasndaki 39 mü³teriye ait güvenlik bulgular, saha çal³malar ve alannda uzman ki³ilerin görü³leri kullanlm³tr. Özet olarak çal³mada, kurumsal bilgi teknolojilerinde yaygn bulunan zayetler ve bu zayetlerin kök nedenleri gruplandrlm³tr. 3.3 Siber Güvenli in Milli Güvenlik Açsndan Önemi ve Alnabilecek Tedbirler Bu çal³ma [103] siber güvenlik kavramnn milli güvenlik açsndan önemine ve bu alanda yaplmas gereken elzem i³lere de inmi³tir. Siber saldrganlarca hedef alnabilecek ülke güvenli i açsndan kritik öneme sahip altyaplar incelenerek Türkiye'de ve dünyada ya³anm³ gerçek siber güvenlik vakalarna de inilmi³tir. De inilen gerçek vakalarla siber güvenli in milli güvenli imize olan tehditler vurgulanm³tr. Sonrasnda ülkelerin siber güvenliklerini sa lama adna yaptklar faaliyetlere de inilmi³tir. Ülkemizde siber güvenlik alannda yürütülen çal³malara; politika, yasal düzenleme, teknik ve idari sorumluluklar, güvenlik tatbikatlar ve çal³taylara yer verilmi³tir. Son olarak kurumsal ve ulusal düzeyde siber güvenlik alannda alnabilecek önlemler genel çerçeveden baklarak sralanm³tr. 3.4 Kurumsal Bilgi Güvenli i Ve Standartlar Üzerine Bir nceleme Bu çal³mada [104] genel hatlaryla kurumsal bilgi güvenli ini incelenmi³tir. Kurumsal bilgi güvenli i bilincinin geli³tirilmesi için kurumlar ve çal³anlarn güvenlik konusundaki bilgi seviyesinin arttrlmas amaçlanm³tr. hakknda bilgilere yer verilmi³tir. Çal³mada ayrca yeni çkan standartlar

51 Bölüm 3. lgili Çal³malar Szma Testi Metodolojilerinin Seçimi: Kar³la³trma ve Geli³imi (Selection of Penetration Testing Methodologies: A Comparison and Evaluation) Bu çal³mada [105] Open Source Security Testing Methodology Manual (OSSTMM), Information Systems Security Assessment Framework (ISSAF), Open Web Application Security Project (OWASP), Metasploit Framework (MSF), and Building Security in Maturity Model (BSIMM) Penetration Testing Execution Standard (PTES) olmak üzere 6 adet szma testi anaçats ve/veya metodolojisi incelenmi³ ve bir fark analizi ortaya konmu³tur. Bu 6 metodolojiden szma testlerine özel olarak bir anaçat sunan ISSAF ve OWASP-TG seçilerek 6 adet metri e göre kyaslanarak birbirine göre üstünlükleri ve zayklar belirtilmi³tir. 3.6 Mobil Bankaclkta Güvenlik Sorunlarn Analizi Bu çal³ma [106] mobil bankaclk alannda kar³la³lan güvenlik sorunlarn hem banka açsndan hem de mü³teri açsndan ara³trm³tr. Çal³mada veri taban sunucularnn ve güvenlik duvar cihazlarnn olay kaytlarn ve a tra ini yakalayan Wireshark program kullanlm³tr. Ara³trmada bankaclk tarafnda gerçekle³tirilen analizler; mobil bankaclk kullanmnda güvenlik duvarna dü³en saldrlarn analizi ve veri tabanndaki mobil bankaclkta kullanlan kimlik tanmlama metotlarnn incelenmesinden olu³maktadr. Mü³teri tarafna ili³kin gerçekle³tirilen ara³trmalar; oltalama saldr analizi ve ara³trmas kapsamnda geli³tirilen anketin analizinden olu³maktadr. 3.7 A Güvenlik Parametreleri ve Optimizasyonu (Network Security Parameters And Their Optimization) Bu çal³ma [107] kurumlarn a yönetiminden sorumlu çal³anlarna, temel a güvenli i ve yaygn a güvenlik açklklar uygun bir szma testi metodolojisiyle açklamay hedeflemi³tir. Ayn zamanda, bir szma testinde kullanlan açk kaynakl port tarayclar, güvenlik aç tarayclar, zayet istismar eden araçlar listelenmi³tir. Nmap, Nessus ve Metasploit gibi yazlmlar çal³ma kapsamnda kullanlm³tr. Çal³mada açklklarn

52 Bölüm 3. lgili Çal³malar 37 snanabildi i bir adet güvenlik duvar ve iki farkl sanal a dan olu³an bir ortam olu³turulmu³tur. 3.8 FreeBSD: Szma Testlerinde Saldrlar ve Zayetler (Attack and Vulnerability Penetration Testing: FreeBSD) Bu çal³mada [108], FreeBSD i³letim sistemine nüfuz etmenin baz admlar bir takm araçlarla ke³if, kaba kuvvet ve yetkili eri³imi kazanma saldrlar düzenlemi³tir. Tüm bu saldrlarla bu alanda çal³anlara kendi internet sistemlerinin güvenli ini test etmek için referans sunulmu³tur. 3.9 Ortak Kullanlan Kablosuz A larda Oturum Çalma (Session Hijacking in WLAN Based Public Networks) Bu çal³mada [109] halka açk alanlardaki kablosuz a larn kötü niyetli ki³ilerce nasl kullanclarn oturumlarn çalmakta kullanlabilece i üzerinde durulmu³tur. MAC adres korumasnn yeterli olmad, saldrgann kolaylkla kendi MAC adresini de i³tirerek saldr yapabilece i ve böylelikle amacna ula³abilece ine de inilmi³tir. Çal³mada Kali i³letim sistemi kullanlm³ ve halka açk a larda kullanclarn oturum bilgileri elde edilmi³tir. Sonuç olarak, yazar bu kablosuz a larda mahrumiyete dikkat çekmekte ve alnabilecek önlemleri sralamaktadr Kurumsal Bilgi Güvenli i Ve Szma (Penetrasyon) Testleri Bu çal³mada [110] bilgi güvenli i genel olarak incelenmi³ ve özel olarak yüksek saldr potansiyeli olan web uygulamalar üzerine odaklanlm³tr. Yaplan incelemede web ortamlarnda büyük tehdit olu³turan SQL enjeksiyonu konusu detayl olarak de erlendirilmi³ ve bu tip saldrlarn önlenmesi adna alnmas gereken önlemler sunulmu³tur. Tam olarak bili³im sistemlerinin güvenli inin sa lanmasnda önemli bir faktör olan kullanc

53 Bölüm 3. lgili Çal³malar 38 bilinçlendirmesi kavramlar tekrar gözden geçirilmi³ ve szma testlerinin belirtilen bu faktörler üzerindeki etkisi ara³trlm³tr. Tespit edilen tehditlerin giderilmesine ve mevcut durumun iyile³tirilmesine yönelik çözüm önerileri sunulmu³tur Banner Grabbing ile Zayet Ke³ (Vulnerability Detection Tool Using Banner Grabbing) Bu çal³mada [111] a servislerinde açklklar ke³fetmek için banner grabbing yöntemini kullanlm³tr. Öncelikle a daki aktif servislerin ke³ gerçekle³tirilmi³ ve daha sonrasnda servislerde zayetler National Vulnerability Database açklk veri tabanyla kar³la³trlm³tr. Ara³trmada, test ortamnda yaplan de erlendirmeler sonucunda bu yöntemle açklk barndran servisler tespit edilip bu sistemlerin yöneticilerine ve bilgi güvenli inden sorumlu ki³ilere raporlanm³tr Bilgisayar Sistemleri için Seçilmi³ Szma Testi Yakla³mnn Uygulamas (Application of the Selected Penetration Testing Approach for Computer System) Bu çal³mada [112] kara kutu yöntemi ile szma testi gerçekle³tirme prosedürü detayl olarak incelenmi³tir. Szma testleri için ücretsiz araçlar ve yazlmlarla bu süreçlerin nasl gerçekle³tirilebilece i uygulamalaryla sunulmu³tur. Bunun yan sra sunulan açklklarn nasl kapatlaca ile ilgili bilgilere de yer verilmi³tir Otomatik Saldr Planlama (Automated Attack Planning) Bu çal³mada [113] szma testlerinde gerçekle³tirildi i gibi, herhangi bir insan gücüne gereksinim duymayan otomatik saldrlar üreten bir sistem tasarlanm³tr. Çal³mada szma testlerinde oldu u gibi bilinen ard³k atak admlar belirlenmi³ ve tasarlanan sistem tarafndan otomatik olarak ataklar denenebilmektedir.

54 Bölüm 3. lgili Çal³malar E lence ve Kâr Amacyla Siber Saldr Simüle Etme (Simulating Cyber-Attacks For Fun And Prot) Bu çal³mada [114] siber saldrlar için kullanlmak üzere saldrgan bak³ açsyla büyük bir alt yap olu³turulmu³tur. Saldr senaryolar özellikle gerçek dünyada kullanlan sfrnc gün açklklarndan ve sklkla görülen yanl³ yaplandrmalardan kaynakl tehditlerden olu³maktadr. Çal³mada sistem kullancsna bir çok sistemden olu³an karma³k szma saldrs olu³turma ve test etme ³ans sunulmu³tur Faz Bazl Açklk Analizi Yaparak Sanal Szma Testleri Gerçekle³tirmek (Virtual Penetration Testing with Phase Based Vulnerability Analysis) Bu çal³mada [115] szma testlerindeki zaman do ruluk, testi yapan ki³inin yetene i gibi kstlar en aza indirmek için szma testlerinin gerçekle³tirilebilece i belirtilmi³tir. Szma testleri ile istismar edilebilir açklklarn tespiti ve açklklarn önceliklendirilmesi için bir saldr modeli önerilmi³tir. Önerilen model Pfsense, Snort, ModSecurity, Microsoft Security Essentials, OSSEC, EMET vb. kontrollerin ve kurumsal ortamda bulunan web sunucusu, DNS sunucu, istemci vb. sistemlerin hedef olarak belirlendi i laboratuvar ortamnda denenmi³tir. Sonuçta da ke³fedilen zayetlere kar³ gerçekle³tirilen saldrlarn ba³ar olanlar listelenmi³tir Szma Testleri çin Bir Model A Üzerinde Siber Saldr Senaryolarnn De erlendirilmesi Bu çal³mada [116] szma testlerinin önemini vurgulamak için szma testlerinin yaplabilece i bir ortam üzerinde saldr senaryolar de erlendirilmi³tir. Geli³tirilen uygulama ortam ile gerçek hayatta kar³la³lan saldrlarn uygulamas yaplarak szma testi yaplmam³ sistemlerde güvenli in nasl atlatlabildi i, sistemlere nasl szld gösterilmi³tir.

55 Bölüm 3. lgili Çal³malar Geli³mi³ Hedef Odakl Siber Saldrlar Bu çal³mada [117] siber güvenli i sa lama adna bir araç olarak kullanlabilecek szma testlerini gerçekle³tirecek güvenlik uzmanlar yeti³tirmek için bir sanal ortam olu³turmu³tur. Olu³turulan bu sanal ortam kapsamnda, bir kurum a nda yer alan temel bile³enler Vmware Workstation, Dynamips ve Dynagen platformlar kullanlarak gerçeklenmi³tir. Ayrca çal³mada szma testlerinde kullanlmak üzere, dört admdan olu³an bir szma testi metodolojisi önerilmi³ ve detaylandrlm³tr. Bu çal³mada, web uygulama testleri, kablosuz a testleri, sosyal mühendislik testleri ve istemci tabanl testlerin yan sra; yönlendirici, güvenlik duvar, saldr tespit sistemleri, veri taban yönetim sistemleri, web uygulama güvenlik duvar ve VoIP haberle³me a gibi bile³enlere yönelik testler de gerçekle³tirilmi³tir. Sonuç olarak szma testleri alannda uzmanla³mak isteyen ki³ilere bir altyap sunulmu³ ve bu alt yap ile en yaygn saldr türlerini ö renme ve bu saldrlar gerçekle³tirme imkan sa lanm³tr Siber Güvenlik Açsndan Szma Testlerinin Uygulamalar ile De erlendirilmesi Bu çal³mada [118] szma testlerinin öneminin vurgulanmak için zayet barndran servis ve sunucu kurulumlar hazrlanm³ ve szma testleri için uygulama benzetimi hazrlanm³tr. Geli³tirilen prototip ile sonuç olarak, prototip üzerinde yaplan deneysel çal³malar ile szma testlerinin önemi ortaya konmu³ ve bu konuda farkndalk önerileri sunulmu³tur Windows Kimlik Bilgisi Hrszl : Yöntemleri ve Önlemleri (Windows Credential Theft: Methods and Mitigations) Bu çal³mada [119] Windows i³letim sisteminde kimlik bilgilerinin nasl elde edilip kullanlabilece i ve bu yöntemlere kar³ ne gibi önlemler alnabilece inden bahsedilmi³tir. Çal³ma öncelikle kimlik do rulamas mekanizmas ve kimlik bilgilerinin nasl kullanlabildi i özetlenmi³tir. Ara³trmada, kimlik bilgilerinin özet ve açk metin olarak nasl

56 Bölüm 3. lgili Çal³malar 41 ve hangi araçlar ile elde edilebilece i detayl olarak incelenmi³ olup araçlarn birbirine olan üstünlükleri listelenmi³tir. Son olarak da kimlik do rulama bilgilerinin elde edilme riskini azaltmak için gerçekle³tirilebilecek önlemler sralanm³tr Windows Kimlik Do rulamas Güvenlik Fonksiyonu: Tehditler ve Önlemlerin Kontrol Listelerine Uyarlanmas) Bu çal³mada [120] Windows i³letim sisteminin kimlik do rulama mekanizmasn atlatmaya yönelik saldrlar ve bu saldrlara yönelik alnabilecek önlemler incelenmi³tir. Ara³trmada öncelikle Windows kimlik do rulama mekanizmas incelenmi³tir. Sonrasnda kimlik do rulama mekanizmasna yönelik olarak saldr admlar sralanm³ ve her admn CAPEC kriterlerine göre kar³lk gelen maddesi ile e³le³tirilmi³tir. Sonraki ba³lklardaysa saldrlara kar³ alnabilecek önlemler sralanm³ ve önlemler CIS dokümanlarnda kar³lk gelen skla³trma maddeleri ile e³le³tirilmi³tir Hazrlanan Çal³mann Di er Çal³malardan Farkllklar Yukarda yaplan çal³malarn hiçbirisinde szma testlerinde önemli bir yeri olan Microsoft etki alan ortam szma testleriyle ilgili detayl bir metodoloji sunulmam³tr. Yukarda yaplan çal³malarn temel özellikleri a³a daki gibi listelenebilir. Baz çal³malarda bilgi güvenli i konusuna teorik, denetimsel veya yönetimsel çerçeveden baklmakta olup uygulama odakl herhangi bir çal³ma yaplmamakta veya szma testlerine yönelik uygulamal bir metodoloji sunulmamaktadr. Bu çal³malarn bir ksmnda ise çe³itli metodolojiler kar³la³trlm³tr. Bir takm çal³malarda ise web, mobil, UNIX, kablosuz a güvenli i gibi szma testi kategorileri üzerinde uygulamal çal³malar gerçekle³tirilmi³tir. Bunun yannda belirtilen kapsamlardaki saldrlara yönelik alnabilecek temel önlemleri inceleyen çal³malar da hazrlanm³tr.

57 Bölüm 3. lgili Çal³malar 42 Baz çal³malarda ise, szma testlerinin kategorileri genel olarak incelenmi³ ve bir simülasyon ortamnn üzerinde uygulamal olarak bir takm örnekler sunulmu³tur. Bu tezde incelenen konuya en yakn olarak saylabilecek son iki çal³mada ise Windows i³letim sistemine özel kimlik do rulama ak³na yönelik zayetlerin istismarlar ve skla³trma önerilerini listelenmi³tir. Yukarda belirtilen çal³malar ba³ta olmak üzere, szma testlerine yönelik farkndalk gün geçtikçe artmaktadr. Hazrlanan bu tez de yukardaki çal³malar gibi bilgi güvenli i konusunda hazrlanm³ olmakla birlikte, literatürde eksik kalm³ olan Microsoft etki alan ortamna yönelik szma testi admlar için bir metodoloji sunulmu³ ve gerçekle³tirilebilecek bu saldrlara yönelik çözüm yöntemleri anlatlm³tr.

58 Bölüm 4 Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Günümüzde merkezi yönetimi kolayla³trmak ve kurum içindeki sistemlerin güvenli ini sa lamak amacyla Microsoft tarafndan sunulan Etki Alan (Domain) yaps kullanlmaktadr. Etki alan güvenli bir ³ekilde yaplandrlmaz ise, merkezi yapnn yönetimi saldrganlarn eline geçebilir ve büyük zararlara sebep olabilir. Etki alan szma testleri için - zorunlu olmamakla birlikte - kurum sistem yöneticilerinden çe³itli taleplerde bulunulabilir. Bu taleplerin en önemli iki tanesi a³a daki gibidir. Kurumda yeni i³e ba³lam³ bir personele verilen standart haklara sahip etki alan kullancs hesab Kurumda yeni i³e ba³lam³ personele verilebilecek ve etki alanna dahil olan standart bir kurum bilgisayar Bu talepler kar³landktan sonra, etki alan szma testine ba³lanabilir. Etki alan szma testleri 10 admda gerçekle³tirilebilir. Bu admlar ekil 4.1'deki ak³ içerisinde gösterilmi³tir. Ak³ içerisinde de görüldü ü gibi, saldrlarn iki temel ba³langç noktas bulunmaktadr. Bu noktalardan ilki, ziksel güvenli in atlatlarak kurum bilgisayarnda yerel yönetici 43

59 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 44 ekil 4.1: Etki Alan Szma Testi Metodolojisi haklarna sahip olunmasdr. kinci ba³langç noktas ise eri³im sa lanabilen a üzerinden bilgi toplanarak zayetlerin tespit edilmesi ve bu zayetlerin istismar ile a üzerindeki di er Windows bilgisayarlara eri³im sa lanmasdr. Eri³im sa lanan her bilgisayardan daha sonraki admlarda kullanlabilecek ve de erli olabilecek yeni bilgiler elde edilmeye çal³lr. E er eri³im sa lanan bu bilgisayarda Microsoft etki alannn yönetimi için gerekli haklar elde edilebildi ise - örne in etki alan yöneticisi hakk elde edilebildi ise - etki alan szma testinin en önemli a³amalarndan birisi tamamlanm³tr denilebilir. E er hedefe ula³lamam³ ise, mevcut a da ve eri³im sa lanabilen ek a larda, ele geçirilen bilgisayarlardan elde edilen yeni bilgilerle tekrardan ikinci ba³langç noktasndaki admlar gerçekle³tirilir ve zayetler istismar edilerek a üzerindeki ba³ka bilgisayarlara eri³im sa lanr. Etki alan szma testleri srasnda çok büyük olaslkla istemcilerdeki koruma sistemlerini atlatma gere i duyulur. Koruma sistemlerini atlatmak için de çe³itlik teknikler bulunmaktadr. Bunun yannda sistemleri ele geçirme srasnda veya sonrasnda kullanlan zararl yazlmlar, arka kaplar, kullanclar gibi tüm de i³ikliklerin not edilmesi ve szma testi sonrasnda bu de i³ikliklerin eski haline döndürülmesi / temizlik yaplmas ve sistem yöneticilerinin durumdan haberdar edilmesi unutulmamaldr.. Etki alan yönetimi elde edildikten sonra, bir taraftan Windows ve etki alan denetimleri gerçekle³tirilir, di er taraftan da di er szma testleri (a, web, veri taban, sosyal

60 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 45 mühendislik gibi) için ek bilgiler çkt olarak verilir. Benzer olarak da, di er szma testleri srasnda elde edilen bilgiler de etki alan szma testine girdi olarak kullanlabilir. Etki alan szma testlerinin admlar birbirinden farkl yöntemlerle gerçekle³tirilebilir. Her bir adm için kullanlabilecek çe³itli yöntemler a³a daki ba³lklarda anlatlm³tr. 4.1 Fiziksel Güvenli i Atlatma Kurumlardaki bilgisayarlarn ziksel güvenli i kritik öneme sahiptir. Windows ve etki alan szma testlerinin ba³langç noktalarndan birisi de ziksel güvenli in bir ³ekilde atlatlarak, bilgisayarn disk sistemine eri³im sa lanmasdr. Fiziksel eri³im sa lanan bir bilgisayar, USB veya CD-ROM aygtlarna taklan bir canl (live) bir i³letim sistemi ile açlabilir. Ancak bu bilgisayarda çe³itli skla³trma i³lemleri gerçekle³tirilmi³ ise, bilgisayar, bu i³letim sistemi ile ba³latlamayabilir. Sabit diskin ³ifrelenmedi i bu gibi durumda, bilgisayarn sabit diski çkartlarak Dock Station gibi cihazlarla disk sistemine eri³im sa lanmas veya boot i³lemi gerektirmeyen yöntemlerin tercih edilmesi gerekebilmektedir. Fiziksel güvenli in atlatlmasna ait yöntemler, iki ana alt ba³lkta incelenebilir Disk sistemine eri³im Bilgisayarn disk sistemine eri³im sa lanarak yerel hesaplara ait bilgiler elde edilebilir. Bu bilgiler disk sistemi üzerindeki herhangi bir bilgi veya dizin (C:\Users altndaki kullanclarn Desktop veya Downloads dizinleri) olabilece i gibi; SAM veya SYSTEM dosyalar veya bu dosyalardan elde edilen yerel hesaplara ait parola özetleri de olabilir. ³letim sistemi çal³yorken, SAM ve SYSTEM dosyalarna disk üzerindeki yerlerinden (C:\Windows\System32\cong dizini altndan) eri³im sa lanamaz. Bu dosyalar kopyalamann en temel yollarndan birisi, bilgisayara ziksel olarak eri³im sa ladktan sonra NTFS okuyabilen ancak NTFS ile formatlanmam³ canl bir i³letim sistemi (Live Linux ISO gibi) ile ekil 4.2'deki gibi disk sistemine eri³mektir. SAM ve SYSTEM dosyalarna eri³im sa landktan sonra uygulanabilecek yöntemler a³a daki gibidir:

61 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 46 ekil 4.2: SAM ve SYSTEM Dosyalar Yöntem - 1: Linux samdump2 ve bkhive araçlar ile yerel hesaplara ait parola özetleri ekil 4.3'te görüldü ü gibi elde edilebilir [121]. ekil 4.3: Linux samdump2 ve bkhive Araçlar ile Parola Özetlerinin Elde Edilmesi Yöntem - 2: Linux Ophcrack arac ile yerel hesaplara ait parola özetleri ekil 4.4'te görüldü ü gibi elde edilebilir.

62 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 47 ekil 4.4: Ophcrack Arac ile Parola Özetlerinin Elde Edilmesi Yukarda belirtilen yöntemler ile tüm disk sistemine (C, D, E,...) eri³im sa lanabilir. Özellikle SAM ve SYSTEM dosyalarna eri³im sa lanarak di er admlar için önemli bir bilgi sa lanm³ olur Oturuma eri³im Bilgisayarn disk sistemine çevrim d³ olarak eri³im sa landktan sonra, çe³itli hileler (trick) kullanlarak, Windows komut satrna SYSTEM haklar ile eri³im sa lanmaya çal³lr. SYSTEM haklar ile elde edilen komut satrnda yeni bir yerel yönetici olu³turularak Windows i³letim sistemine olu³turulan yerel yönetici haklar ile oturum elde edilir. Bir di er yol da mevcut i³letim sisteminde yerel yönetici hesabna ait parolann sfrlanmasdr. Oturuma eri³im için uygulanabilecek yöntemler a³a daki gibidir: Yöntem - 1: ³letim sistemi yüklenmeden önce Linux i³letim sistemi ile disk sistemine eri³im sa lanr. Sonrasnda ise Windows oturum açma ekranndaki uygulamalar veya ikonlara ait çal³trlabilir dosyalarn (sethc.exe, utilman.exe, magnify.exe, osk.exe, narrator.exe) bir kopyas alnr (Utilman_orijinal.exe gibi) ve Windows komut satrnn (cmd.exe) bir kopyas ekil 4.5'te görüldü ü gibi bu uygulamann ismi ile kaydedilir. Yöntem - 2: Windows i³letim sisteminde gerçekle³tirilen baz skla³trmalar sebebi ile Linux gibi bir i³letim sistemi kullanlarak ba³latlamayabilir. Bu gibi bir durumda

63 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 48 ekil 4.5: Utilman Hilesi Ba³langç Onarm (Launch Startup Repair) özelli i kötüye kullanlarak, Windows i³letim sisteminde oturum açlabilir. Bilgisayar yeniden ba³latlrken, i³letim sistemi yüklenmesi srasnda zorla bilgisayar yeniden ba³latlrsa Windows Error Recovery ekran ile kar³la³lr ve Windows i³letim sistemi Launch Startup Repair modunda açlmas için bir öneride bulunur. Bir süre sonra çkan ekrandaki bir ba lant ile i³letim sistemindeki bir metin dosyas açlabilir. Böylece ekil 4.6'da görüldü ü gibi disk sistemine eri³im sa lanm³ olur. Bir önceki yöntemde de belirtildi i gibi bir takm çal³trlabilir dosyalarda (sethc.exe, utilman.exe, magnify.exe, osk.exe, narrator.exe) de i³iklik yaplabilir. ekil 4.6: Launch Startup Repair Özelli i

64 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 49 ki yöntemden birisi uygulandktan sonra bilgisayar yeniden ba³latld nda Windows oturum açma ekranndaki bu uygulamalar ba³latlarak komut satr elde edilebilir ve yeni bir yerel yönetici olu³turulabilir. Yöntem - 3: Windows i³letim sisteminde oturum açabilmek için bir di er yöntem de ekil 4.7'de görüldü ü gibi Linux chntpw arac ile mevcut kullanclarndan birisinin parolasn sfrlamak veya yeni bir yerel yönetici kullancs olu³turmaktr. Ancak mevcut kullanclarn parolas sfrland nda sonraki admlarda incelenecek olan Pass The Hash saldrlar için önemli bir bilgi olan yerel kullanc parola özet bilgileri de i³mi³ olacaktr. Bu sebeple mevcut kullanclar de i³tirilmeden yeni kullanclarn olu³turulmas tavsiye edilmektedir. ekil 4.7: Linux chntpw Arac ile Parola Sfrlama 4.2 ³letim Sistemi Eri³imi Szma testleri srasnda, olas zayetler istismar edilerek Windows i³letim sistemine eri³im sa lamaya ve bilgisayarda oturum açlmaya çal³lr. Bu oturum; masaüstü oturumu olabilece i gibi, uzaktan kontrol edilen bir komut satr oturumu da olabilir.

65 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 50 stemci tara saldrlar ile de i³letim sistemleri ele geçirilebilir. Ancak, istemci tara saldrlar sosyal mühendislik kapsamnda de erlendirildi i için etki alan szma testleri kapsamnda ele alnmam³tr. ³letim sistemine eri³imin sa lanmas srasnda istismar edilebilecek zayetler 3 ana alt ba³lkta incelenebilir ³letim sistemi zayetlerinin istismar ³letim sisteminden (servisten) kaynakl olan çe³itli zayetler istismar edilerek, herhangi bir kimlik bilgisi olmakszn, i³letim sisteminde çe³itli (servisi çal³tran hesaba ait) yetkilere sahip olunabilir. MS03-026, MS04-007, MS [122] gibi zayetler en sk kar³la³lan zayetlerdendir. Bu zayetlerin istismar için internetten indirilen veya özel hazrlanm³ istismar kodlar kullanlabildi i gibi, ekil 4.8'de görüldü ü gibi Metasploit Framework tarz platformlar da kullanlabilir. ekil 4.8: Windows ³letim Sistemindeki ms Zayetinin stismar Uygulama zayetlerinin istismar ekil 4.9'da görüldü ü gibi i³letim sistemindeki bir uygulamadan kaynakl olan çe³itli zayetler istismar edilerek, bir takm yetkilere sahip olunabilir. ekil 4.9: Achat Uygulama Zayetinin stismar

66 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Yaplandrma ayarlarnn istismar Kurumlardaki bilgisayarlarda ortak hesaplarn kullanlmasndan kaynakl kongürasyon zayeti ile sk sk kar³la³lmaktadr. Bu sebeple, bir bilgisayardan elde edilen kimlik bilgisi ile ba³ka bilgisayarlara eri³im sa lanabilir. Bir di er önemli kongürasyon zayeti ise, ziksel eri³im sa lanan bilgisayarda, ziksel güvenli in atlatlarak oturum elde edilmesidir. Kongürasyon zayetlerinin istismarna yönelik yöntemler a³a daki gibi sralanabilir. Yöntem - 1: Elde edilen açk parola bilgisi ile bir bilgisayara uzaktan eri³im sa lanabilir. Bu amaçla ekil 4.10'da görüldü ü gibi Sysinternals psexec arac kullanlabilir. ekil 4.10: Sysinternals Psexec Arac Windows komut satr elde edildikten sonra kurban bilgisayarn üzerindeki veya saldrgann belirledi i bir dosya payla³mndaki zararl yazlm ba³latlarak, istemci tara bir saldr gibi Meterpreter ba lants elde edilebilir. Ancak ço u zaman parolann kendisi de il, özeti elde edilebilmektedir. Bu gibi bir durumda di er yöntemler tercih edilebilir. Yöntem - 2: Elde edilen açk parola özeti bilgisi ile bir bilgisayara ekil 4.11'de görüldü ü gibi MSF psexec veya psexec_psh modülleri kullanlarak eri³ilebilir. ekil 4.11: MSF Psexec Modülü

67 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 52 Yöntem - 3: stemci tara güvenlik mekanizmalar (Antivirüs, HIPS gibi) sebebi ile MSF tarafndan hazrlanan zararl yazlmlar yerine ayn i³lemi yapan ancak bu mekanizmalara yakalanmayan zararl yazlmlar kullanlmas gerekebilir. Bu amaçla ekil 4.12'de görüldü ü gibi MSF psexec_command modülü ile payla³mdaki zararl bir yazlm çal³trlabilir. ekil 4.12: MSF psexec-command Modülü Böylece Meterpreter kabu u elde edilebilir. Yöntem - 4: Güvenlik mekanizmalarnn atlatlamad durumlarda ise Microsoft tarafndan sunulan Sysinternals psexec arac gibi i³letim sisteminin Windows komut satrna eri³im ihtiyac olabilir. Bu amaçla ekil 4.13'te görüldü ü gibi Linux pth-winexe arac kullanlabilir. ekil 4.13: Linux pth-winexe Arac Yöntem - 5: Parola özeti kullanlarak herhangi bir güvenlik mekanizmasna yakalanmadan Windows komut satrna eri³imin bir di er yöntemi de bellekteki kimlik bilgilerini de i³tirmektir. Örne in, Vedat kullancsnn parola özetlerinin elde edildi i bir ortamda, WCE veya Mimikatz arac ile RAM üzerindeki oturuma ait NTLM bilgileri Vedat hesabna ait kimlik bilgileri (Kullanc ad ve parola özeti) ile de i³tirilebilir. Örne in,

68 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 53 WCE arac -s seçene i ile çal³trldktan sonra, Saldirgan hesabna ait parolann NTLM özet bilgilerinin (sadece NTLM bilgilerinin), Vedat'n parolasna ait NTLM özet bilgileri ile de i³ti i ekil 4.14'te görülmektedir. ekil 4.14: WCE ile RAM Üzerindeki Parolay De i³tirme Böylece Sysinternals psexec arac ile uzak bilgisayara eri³im sa lanabilir. Yöntem - 6: Uygun ³ekilde yaplandrlmam³ a larda saldrgan, kurban olarak seçti i bir bilgisayar ile bu bilgisayarn gitmek istedi i hedef adresin arasna girebilir. Bu a larda, Windows i³letim sistemini güncellemek isteyen kurban, Microsoft'un güncelleme sitesine gitmek yerine, saldrgann belirledi i DNS kaydna göre ilgili bir sunucuya yönlendirilecektir. Böylece ekil 4.15'te görüldü ü gibi Windows i³letim güncellemesi yerine saldrgann gönderdi i zararl yazlm yüklenerek kurban bilgisayar, saldrgann eline geçmi³ olacaktr. ekil 4.15: Windows Update Özelli inin stismar

69 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Hak Yükseltme Windows i³letim sisteminde en yetkili kullanc hesab SYSTEM hesabdr. Etki alanndaki en yetkili kullanc hesab ise, Domain Admins (ve Enterprise Admins) grubundaki bir hesap oldu u söylenebilir. Windows i³letim sistemine eri³im sa landktan sonra, i³letim sisteminde ve etki alanndaki bir zayet kullanlarak, hak yükseltilmeye çal³labilir. Hak yükseltilmesine yönelik çe³itli örnekler a³a daki gibi sralanabilir. Yöntem - 1: Etki alanndaki bir bilgisayarda yerel yönetici haklar ile etki alannda sorgulama gerçekle³tirilemez. Bu sebeple, Administrators grubu üyelerinin SYSTEM yetkilerine eri³mesi gerekebilir. Bu amaçla ekil 4.16'da görüldü ü gibi Sysinternals PsExec arac kullanlabilir. ekil 4.16: Sysinternals Psexec Arac ile SYSTEM Yetkilerinin Elde Edilmesi Yöntem - 2: Windows i³letim sisteminde yönetici haklarna sahip olunsa bile UAC etkin oldu u durumda kullancdan onay alnmas gibi bir koruma mekanizmas sa lad için UAC korumasnn atlatlmas gerekir. UAC mekanizmasn atlatabilmek için ekil 4.17'de görüldü ü gibi MSF bypassuac_injection modülü [123] ile yeni bir ba lant elde edilebilir. Yöntem - 3: Windows bir istemci bilgisayardaki en önemli hak yükseltme zayetleri MS10-015, MS13-053, MS15-051, MS olarak sralanabilir. Bu zayetler ile standart kullanc haklarna sahip bir kullanc, yönetici veya SYSTEM yetkilerine sahip olabilmektedir. ekil 4.18'de Powershell beti i ile hak yükseltme i³lemi görülmektedir.

70 Bölüm 4. Kurumsal A larda Microsoft Etki Alan S zma Testi Metodolojisi ve Sald r 55 Teknikleri ekil 4.17: Meterpreter ile UAC Atlatma ekil 4.18: stemcide Hak Yükseltme Za yetleri

71 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 56 Yöntem - 4: MS zayetinin istismar ile etki alanndaki standart yetkilere sahip bir kullanc etki alannda yetkili bir kullanc haklarna ekil 4.19'da görüldü ü gibi sahip olabilir. ekil 4.19: MS Zayetinin stismar Yukardaki yöntemlerin haricinde bir kullanc RAM üzerinde jetonu bulunan ba³ka bir kullancnn kimli ine bürünebilir. Bu saldr yöntemi için ba³l incelenebilir. 4.4 Bilgisayar Üzerinde Kritik Bilgi Elde Etme Windows i³letim sistemine eri³im sa landktan sonra, mevcut yetkiler kullanlarak bilgisayar üzerinde hedefe yönelik kritik bilgiler aranr. Bunun yannda istemci tara saldrlarda kullanlan ba lant gönderme, pop-up çkarma, klavye hareketlerini kaydetme gibi çal³malar da gerçekle³tirilebilir. Ele geçirilen sistemlerden elde edilebilecek bilgilerin en önemlileri a³a daki gibidir: Bilgisayarn etki alan, yereldeki ve etki alanndaki kullanclar ve gruplar Bilgisayarda oturumu açk olan veya daha önceden oturum açm³ olan yerel veya etki alanndaki kullanclar ve bu kullanclara ait bilgiler Bilgisayarn diskinde kaytl olan bilgiler Bilgisayardaki uygulamalardan elde edilen bilgiler

72 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 57 ³letim sistemine eri³imin sa landktan sonra, tespit edilebilecek kritik veriler 5 alt ba³lkta incelenebilir Yerel bilgisayar veya etki alan hakknda bilgiler Bir Windows bilgisayara eri³im sa ladktan sonra, gerçekle³tirilebilecek admlardan ilki oturum elde edilen bilgisayar hakknda bilgi elde etmektir. listelenebilir. Bu bilgiler a³a daki gibi Bilgisayarda sahip olunan yetki Bilgisayarn i³letim sistemi ve bilgisayarn dahil oldu u etki alan Yerel gruplar ve yereldeki kritik gruplar (Administrators, Remote Desktop Users gruplar gibi) Yereldeki bilgisayarda ve etki alannda bulunan kritik gruplara ait kullanclar veya nesneler (Administrators, Domain Admins, Domain Computers gibi) Parola politikas Payla³mlar Bilgisayara gerçekle³tirilen ve bu bilgisayardan gerçekle³tirilen ba lantlar A bilgileri Yüklü olan programlar Parola özetleri veya bu bilgileri içeren dosyalar Yerel yönetici veya SYSTEM yetkileriyle bilgisayara eri³im sa landktan sonra, bilgisayardaki kullanclara ait parola özetleri elde edilmeye çal³lr. Bu amaçla, SAM / NTDS.dit ve SYSTEM dosyalar alnabilece i gibi, parola özetleri de elde edilebilir. Elde edilen bu parola özetlerine ile John the Ripper, RainbowCrack, fgdump, Lophtcrack, Ophcrack, Cain & Abel, Hydra, Ncrack vb. araçlar kullanlarak sözlük saldrlar gerçekle³tirilebilir. Kimlik do rulama dosyalarnn veya parola özetlerinin elde edilmesine yönelik çe³itli örnekler a³a daki gibi sralanabilir.

73 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 58 Yöntem - 1: Varsaylan olarak i³letim sistemi çal³yor durumda iken, C:\Windows\Sys tem32\cong dizini altndaki SAM ve SYSTEM dosyalarna eri³im gerçekle³tirilemez. Bunun yannda Kayt Defteri üzerindeki SAM ve SYSTEM kaytlarna gerçek zamanda eri³im sa lanabilmektedir. Komut satrnda bu kayt de erleri bir dizine reg arac ile ekil 4.20'de görüldü ü gibi kaydedilebilir. ekil 4.20: Windows reg Komutu ile SAM ve SYSTEM Dosyalarnn Elde Edilmesi Yöntem - 2: Hedef Windows i³letim sisteminde Cain & Abel, fgdump gibi araçlar kullanlarak parola özetleri ekil 4.21'de görüldü ü gibi elde edilebilir. ekil 4.21: Windows reg Arac ile SAM ve SYSTEM Dosyalarnn Elde Edilmesi

74 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 59 Yöntem - 3: SAM ve SYSTEM dosyalar elde edildi i durumlarda Linux Ophcrack arac, Linux samdump2 ve bkhive araçlar, Windows Cain & Abel arac ile yerel hesaplara ait parola özetleri ekil 4.22'de görüldü ü gibi elde edilebilir. ekil 4.22: Cain & Abel Arac ile SAM ve SYSTEM Dosyalarndan Parolalarn Elde Edilmesi Yöntem - 4: Meterpreter ba lantsnn elde edildi i durumlarda Meterpreter hashdump komutu, MSF hashdump post modülü ve MSF smart_hashdump post modülleri kullanlarak yerel ve etki alan denetleyicilerine ait parola özetleri ekil 4.23'te görüldü ü gibi elde edilebilir. ekil 4.23: Meterpreter ile Parola Özetlerinin Elde Edilmesi Yöntem - 5: Meterpreter kabu u elde edilmeyen etki alan denetleyicisi (DC) üzerinde Volume Shadow Copy özelli i ile disk üzerinde bir gölge kopya (Shadow Copy) olu³turulur. Böylece NTDS.dit ve SYSTEM dosyalarnn kopyas ekil 4.24'te görüldü ü gibi elde edilebilir. ekil 4.24: Volume Shadow Copy ile NTDS ve SYSTEM Dosyalarnn Elde Edilmesi

75 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 60 Elde edilen dosyalar Linux esedbtools ve ntdsxtract araçlarna verilerek etki alan kullanclarna ait parola özetleri ekil 4.25'te görüldü ü gibi elde edilebilir. ekil 4.25: Esedbtools ve Ntdsxreact ile Ntds ve SYSTEM Dosyalarndan Parolalarn Elde Edilmesi Meterpreter elde edilmi³se bir önceki yöntemdeki modüller veya MSF domain_hashdump post modülü ile etki alan kullanclarna ait parola özetleri elde edilebilir RAM üzerinde kaytl jetonlar Yerel yönetici veya SYSTEM yetkileriyle bilgisayara eri³im sa landktan sonra, bilgisayardaki kullanclara ait jetonlar (token) elde edilmeye çal³lr. Bu amaçla, mevcut durumda çal³an prosesler ve prosesleri çal³tran kullanc hesaplar incelenerek jetonlar çalnr ve kritik yetkiler elde edilebilir. Jetonlarn elde edilmesine yönelik çe³itli örnekler a³a daki gibi sralanabilir.

76 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 61 Yöntem - 1: Meterpreter ba lants elde edilmi³se, steal_token veya migrate komutlar veya incognito eklentisi ile ba³ka bir kullancnn prosesine ekil 4.26'da görüldü ü gibi atlanabilir [118]. ekil 4.26: Prosese Atlama Yöntem - 2: Meterpreter ba lantsnn elde edilemedi i durumlarda Powershell Invoke- TokenManipulation beti i kullanlarak ba³ka bir kullancnn prosesine atlanabilir RAM üzerinde kaytl parolalar Yerel yönetici veya SYSTEM yetkileriyle bilgisayara eri³im sa landktan sonra, bilgisayarda oturum açan kullanclara ait parolalarn açk hali elde edilmeye çal³lr. Bu amaçla, LSASS dosyas alnabilece i gibi, çe³itli uygulamalar çal³trlarak parolann açk hali do rudan da elde edilebilir. Parola özetlerinin elde edilmesine yönelik çe³itli örnekler a³a daki gibi sralanabilir. Yöntem - 1: WCE ve Mimikatz araçlar temel olarak RAM üzerinde bulunan kimlik do rulama paketlerindeki (authentication packages) kimlik bilgilerini (³ifreli parola ve parola özetlerini, kullanc ad gibi) okur, parolay (ve MSV1_0.dll için parola özetini)

77 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 62 ³ifreleyen ³ifreleme anahtarn elde eder. ³ifreli kimlik bilgilerini çözer (de³ifre eder). Sonrasnda ise, ekil 4.27'de görüldü ü gibi ekil 4.27: WCE ve Mimikatz Kullanm Yöntem - 2: Uygulamay çal³trmak yerine Powershell beti i kullanlarak da RAM üzerinden parolalar ekil 4.28'de görüldü ü gibi elde edilebilir. ekil 4.28: Mimikatz Powershell Kullanm

78 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 63 Yöntem - 3: Meterpreter ba lants elde edildi i durumlarda mimikatz eklentisi ile de parolalar RAM üzerinden açk olarak ekil 4.29'da görüldü ü gibi elde edilebilir. ekil 4.29: Mimikatz Meterpreter Kullanm Yöntem - 4: Hedef sistemde gerekli önlemler al³m³sa yukardaki yöntemler ile parola özetleri alnamayabilir. Bu durumlarda LSASS prosesinin dump dosyas elde edilerek sanal ve skla³trlmas yaplmam³ bir ortamda parolalarn açk hali ekil 4.30'da görüldü- ü gibi elde edilebilir. ekil 4.30: Mimikatz LSASS ile Kullanm Disk veya uygulamalar üzerinde kaytl veriler Windows bir bilgisayara eri³im sa landktan sonra, disk üzerinde kaytl kritik bilgiler elde edilmeye çal³lr. Bu i³lem el ile gerçekle³tirilebildi i gibi, betikler kullanlarak da gerçekle³tirilebilir. El ile gerçekle³tirilen aramalarda a³a da belirtilen alanlarda aramalar yaplr.

79 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 64 C:\Users altndaki Desktop, Documents ve Downloads dizinlerin incelenmesi Harici disklerin (D, E, F vb.) incelenmesi Windows-Run tu³ takmna tklanarak eri³im sa lanan dizinlerin incelenmesi En son girilen dizinlerin ve dosyalarn incelenmesi Kullanlan web tarayclarda kritik sistemlere eri³imlerin, favori web sayfalarnn incelenmesi En son kullanlan uygulamalarn tarihçesinde eri³im sa lanan verilerin incelenmesi Kullanlan uygulamalara (TOAD, Filezilla, OpenVpn vb.) ait kongürasyon dosyalarnn (tnsnames.ora, *.ovpn) uygulamaya özel dizinlerde incelenmesi Kaytl kablosuz a eri³im bilgileri elde edilmesi Not: Ele geçirilen bilgisayarda C:\Users dizininde son de i³iklik tarihine göre en yakn tarihe ait oturuma daha fazla önem verilmelidir. Betikler veya Metasploit modülleri kullanlarak disk sistemi üzerinden veya uygulamalardan kritik bilgilerin elde edilmesine yönelik çe³itli örnekler a³a daki gibi sralanabilir. Yöntem - 1: Powershell komutlar veya özel betikler ile disk sisteminde kritik bilgi ekil 4.31'de görüldü ü gibi aranabilir. ekil 4.31: Powershell ile Disk Üzerinden Kritik Bilgi Elde Etme Yöntem - 2: Meterpreter elde edilen bilgisayarda Winscp, Filezilla, Tortoisesvn gibi uygulamalar üzerindeki kimlik bilgileri ekil 4.32'de görüldü ü gibi elde edilebilir.

80 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 65 ekil 4.32: Meterpreter ile Uygulamalar Üzerinden Kritik Bilgi Elde Etme Yöntem - 3: Etki alanlarnda i³letim sistemi üzerinde parolalarn ayarlanmas için Group Policy Preferences kullanlm³sa bu parolalar çözülebilir. Bu i³lemde meterpreter kabu u kullanlabilece i gibi harici betikler de ekil 4.33'te görüldü ü gibi kullanlabilir. ekil 4.33: Grup lkeleri Üzerinden Kritik Bilgi Elde Etme

81 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Eri³im Süreklili ini Sa lama Windows i³letim sistemine eri³im sa landktan sonra, mevcut yetkiler kullanlarak bilgisayar üzerinde eri³imin süreklili i sa lanmaya çal³lr. Eri³imin süreklili ini sa lamak için kullanlabilecek yöntemler a³a daki gibi sralanabilir. Yöntem - 1: Yönetici haklar ile oturum elde edilen bilgisayarda Autorun, kayt defteri, servisler, DLL'ler vb. üzerinden arka kap ekil 4.34'te görüldü ü gibi braklabilir. ekil 4.34: Arka Kap Brakma Yöntem - 2: Meterpreter ba lants elde edilmi³se persistence beti i veya s4u_persistence istismar modülü kullanlarak arka kap ekil 4.35'te görüldü ü gibi braklabilir. ekil 4.35: Meterpreter ile Arka Kap Brakma Yöntem - 3: Windows i³letim sisteminde yetkili hesap haklar ile ele geçirilen oturumda, Kayt Defteri üzerinde gerçekle³tirilebilecek bir de i³iklik ile i³letim sistemine

82 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 67 uzak masaüstü ekrannda bir arka kap braklabilir. Böylece, kullanc hesap parolalar de i³se bile, Windows oturum açma ekranna eri³im sa lanabiliyor ise Windows komut satr SYSTEM haklar ile ekil 4.36'da görüldü ü gibi elde edilebilir. ekil 4.36: WMI ile Arka Kap Brakma Yöntem - 4: Szma testlerinde Domain Admin yetkileri alndktan sonra eri³im süreklili ini sa lamak için Altn Bilet (Golden Ticket) olu³turulabilir [124]. Böylece Domain Admins grubu üyelerinin parolas de i³se bile yllarca bu bilet ile etki alan denetleyicisine ekil 4.37'de görüldü ü gibi yetkili eri³im sa lanabilir. ekil 4.37: Altn Bilet ile Arka Kap Brakma 4.6 Yeni A lara Eri³im Sa lama Windows i³letim sistemine eri³im sa landktan sonra, normalde do rudan eri³im sa lanamayan a lara, ele geçirilen bilgisayar üzerinden eri³im sa lanmaya çal³lr. Yeni a lara eri³im sa lamak için kullanlabilecek yöntemler a³a daki gibi sralanabilir. Yöntem - 1: Meterpreter eri³imi elde edilmi³ bir Windows istemci üzerinden eri³im sa lanamayan a lara route veya portfwd komutu, MSF autoroute post veya socks4a auxiliary modülleri, Linux proxychains uygulamas ile eri³im ekil 4.38'de görüldü ü gibi sa lanabilir.

83 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 68 ekil 4.38: Meterpreter ile Ba³ka A lara Eri³im Yöntem - 2: Masaüstü eri³imi veya komut satr eri³imi elde edilen bilgisayar üzerinden klasik yöntemlerle (bilgisayarn komut satr veya masaüstü arayüzü üzerinden) de do rudan eri³im sa lanamayan yeni a lara ba lant kurulabilir. 4.7 A Ke³ A szma testlerinin kapsaml ba³lklarndan biri olan a ke³ adm, di er bir çok szma testi kapsamnda oldu u gibi etki alan szma testinin de önemli admlarndandr. Windows bilgisayarlar tespit edebilmek için 445/TCP, 139/TCP, 3389/TCP gibi standart portlarn ke³ ilk a³amada yeterli olmaktadr. Bu amaçla Nmap, Zenmap, Hping, Ncat gibi araçlar ile a taramas ekil 4.39'da görüldü ü gibi gerçekle³tirilebilir.

84 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Zayet Tarama ekil 4.39: Zenmap ile A Taramas A üzerindeki sistemler tespit edildikten sonra, bu sistemlerin i³letim sisteminden, uygulamalarndan ve kongürasyonlarndan kaynakl zayetler tespit edilir. Zayet taramas için kullanlabilecek yöntemler a³a daki gibi sralanabilir. Yöntem - 1: Nessus, Nexpose, OpenVas gibi uygulamalar ile kimlik bilgisi verilerek veya verilmeden zayet taramas veya denetim kontrolleri ekil 4.40'da görüldü ü gibi gerçekle³tirilebilir [125]. ekil 4.40: Nessus ile Zayet Taramas

85 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 70 Yöntem - 2: ³letim sisteminin sistem bilgisine (sysinfo komutuna) ait çkt Windows- Exploit-Suggester beti ine verilerek veya Windows Privesc Check beti i çal³trlarak zayetler ekil 4.41'de görüldü ü gibi tespit edilebilir. ekil 4.41: Betikler ile Zayet Taramas 4.9 A Üzerinde Kritik Bilgi Elde Etme A üzerinde etki alanna veya di er Windows sistemlere ait parola, parola özeti gibi kimlik bilgileri ba³ta olmak üzere çe³itli kritik bilgiler a tra inden veya payla³mlardan elde edilebilir. A üzerinden kritik bilgi elde etme yöntemleri a³a daki gibi sralanabilir. Yöntem - 1: Uygun ³ekilde yaplandrlmam³ a larda saldrgan, hedef olarak seçti i iki bilgisayar arasna girebilir ve tra i izleyebilir [126]. Cain & Abel veya Ettercap arac, Responder beti i kullanlarak a üzerinden parola, parola özetleri veya kritik veriler ekil 4.42'de görüldü ü gibi elde edilebilir. ekil 4.42: Cain & Abel ile A Üzerinden Parola Elde Etme

86 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 71 Yöntem - 2: Yetkilendirmesi uygun ³ekilde yaplmam³ olan payla³mlarda kaydedilmi³ kritik veriler ekil 4.43'te görüldü ü gibi a üzerinden elde edebilir. ekil 4.43: MSF ile Payla³mlar Üzerinden Bilgi Elde Etme Benzer olarak Windows payla³m yerine Linux üzerindeki payla³mlardan, FTP servisinden, web sayfalarndan vb. ekil 4.44'te görüldü ü gibi kritik bilgi edinilebilir. ekil 4.44: NFS Üzerinden Bilgi Elde Etme

87 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri Eri³im Sa lanabilecek Bilgisayarlarn ve Kullanclarn Tespiti A tra inden, payla³mlardan, eri³im sa lanan bilgisayarlardan, di er szma testi kapsamlarndan elde edilen eri³im bilgileri kullanlarak eri³ilebilecek di er Windows kaynaklar tespit edilir. Ayrca eri³im sa lanabilecek bu bilgisayarlarda hedefe özel aramalar (Domain Admins oturumlarnn tespiti gibi) da gerçekle³tirilebilir. Eri³im sa lanabilecek di er Windows bilgisayarlar tespit etmek için kullanlabilecek yöntemler a³a daki gibi sralanabilir. Yöntem - 1: Szma testleri srasnda Windows bilgisayarlar ve bir takm kimlik bilgileri (kullanc ad ve parolalar) elde edildikten sonra bu kimlik bilgileri ile oturum açlabilecek bilgisayarlar aranr. Bu amaçla Linux Hydra, Medusa, Ncrack araçlar veya Levye beti i ekil 4.45'te görüldü ü gibi kullanlabilir [127]. ekil 4.45: Sözlük Saldrs Gerçekle³tirme Yöntem - 2: Parolalar açk metin olarak elde edilememi³ ise, MSF smb_login modülü ekil 4.46'da görüldü ü gibi kullanlabilir. ekil 4.46: MSF ile Sözlük Saldrs Gerçekle³tirme Yöntem - 3: Oturum açlabilecek bilgisayarlar tespit edildikten sonra bu bilgisayarlarda oturumu açk olan kullanclarn tespiti için MSF smb_enumusers_domain veya psexec_ loggedin_users modülleri ekil 4.47'de görüldü ü gibi kullanlabilir.

88 Bölüm 4. Kurumsal A larda Microsoft Etki Alan Szma Testi Metodolojisi ve Saldr Teknikleri 73 ekil 4.47: MSF ile Oturumu Açk Kullanclarn Tespit Edilmesi Szma testleri srasnda hedei olarak çal³ld için sadece kritik kullanc hesaplarnn (Domain Admins grubu üyeleri, Veritaban yöneticileri, a ve sistem yöneticiler gibi) hangi Windows bilgisayarlarda oturum açt (jetonunun bulundu u) tespit edilmesine ihtiyaç duyulabilir. Bu durumda KACAK betigi ekil 4.48'de görüldü ü gibi kullanlabilir. ekil 4.48: Kaçak Beti i ile Oturumu Açk Kullancnn Tespit Edilmesi

89 Bölüm 5 MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas Szma testlerinin bir düzen içerisinde gerçekle³tirilmesi için çe³itli standartlar, klavuzlar ve metodolojiler hazrlanm³tr. Hazrlanan bu çal³malar alt ba³lklarda incelenecek ve tez kapsamnda önerilen Microsoft etki alan szma testi metodolojisi (Microsoft Domain Environment Penetration Testing Methodology - MSDEPTM) ile kar³la³trlacaktr. 5.1 PTES (Penetration Testing Execution Standard) Bir çok farkl sektördeki ki³inin olu³turdu u bir grup tarafndan hazrlanan PTES [128] ile 7 ba³lktan olu³an szma testi metodolojisi sunulmu³tur. Bu admlar szma testlerinin ba³ndan sonuna dek yaplmas gereken tüm çal³malar kapsamaktadr. Bu çal³malar a³a daki gibi sralanabilir. Anla³ma Öncesi Etkile³im (Pre-engagement Interactions): Szma testi admlarnda kullanlan teknikler ve araçlar sunulur, szma testi kapsam ve zaman planlamas belirlenir. Bu bilgiler yllarn eme i ve tecrübesine dayanlarak ortaya çkm³tr. Bilgi Toplama (Intelligence Gathering): Bu admda olabildi ince fazla bilgi toplanarak sonraki admlar için bir yol haritas çizilir. PTES'e göre, bilgi toplama çal³malar aktif, pasif veya ksmi pasif olmak üzere de üç ³ekilde gerçekle³tirilebilir. Aktif bilgi toplamada hedef ile do rudan etkile³imde bulunur ve hedef sistem bu 74

90 Bölüm 5. MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas 75 etkile³imi zararl veya ³üpheli olarak nitelendirebilir. Pasif bilgi toplamada ise hedef ile do rudan etkile³imde bulunulmadan arama motorlar veya ar³ivlenmi³ veriler üzerinden bilgiler elde edilir. Ksm bilgi toplamada ise standart bir kullanc gibi mevcut kaytlar için DNS sorgular yapma, yaynlanm³ dokümanlar indirme vb. yöntemler kullanlarak hedef sistemle etkile³im kurulur. Tehdit Modelleme (Threat Modeling): Ortamda kar³la³labilecek tehditlerden bir saldr modeli ortaya çkarlarak szma testinin olabildi ince do ru bir ³ekilde i³letilmesini sa lar. Kesin bir model çizilemiyor olsa da tehditlerin olu³turabilece i riskler, tehditlerin özellikleri ve kabiliyetleri ortaya konulur. Tehdit modelleme ile organizasyonun kritik varlklarna ait risk haritas da çkartlm³ olur. Zayet Analizi (Vulnerability Analysis): Saldrgan bak³ açs ile sistemlerdeki yanl³ yaplandrmalar, güvenilir olmayan tasarmlardaki zayetler ortaya konulur. Zayet analizi srasnda otomatik araçlarn çktlar, manuel olarak da do rulanr. Sömürme (Exploitation): Hedef sisteme giri³ veya di er istismar yöntemleri belirlenir. Bu admda sistemlere zarar vermemek en önemli hususlarn ba³nda gelir. ³letim sistemi zayetinin sömürülmesi, servislerin devre d³ braklmas, belirlenen ki³ilere oltalama maili gönderilmesi, antivirüs gibi yazlmlarn atlatlmas, IPS'den kaçnma çal³malar vb. en önemli istismar yöntemlerindendir. Sömürme Sonras (Post Exploitation): Ele geçirilen sistemlerden kritik bilgi elde etme, di er sistemlere eri³im sa lama, eri³imin süreklili ini sa lama, veri kaçrma, ele geçirilen sistem üzerinden di er sistemlere saldr gerçekle³tirme, izleri silme, vb. gibi çal³malar gerçekle³tirilir. Raporlama (Reporting): Gerçekle³tirilen çal³ma admlar yönetimsel rapor ve teknik rapor olarak dokümante edilir. Muhtemel bir saldrnn kurum i³leyi³ine etkileri detaylandrlarak riskler ortaya konulur. Kurumla el sk³larak rapor son haline getirilir. PTES oldukça iyi hazrlanm³ ve henüz son haline getirilememi³ olan szma testi standartdr. Bu standart ile planlamadan raporlamaya kadar szma testlerinin tüm a³amalar detaylandrlm³tr. Bu standart tüm kapsamlar için bir çat olu³turmakta olup, szma testlerinin tüm kategorileri (web, kablosuz a, etki alan, iç a vb.) için genel çerçeveyi çizmektedir. Bunun yannda, tezde sunulan Microsoft etki alan szma testi metodolojisi

91 Bölüm 5. MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas 76 (MSDEPTM) ise Microsoft etki alan ortam özelinde szma testi admlarn sunmakta ve PTES'de incelenen ilk ve son adm metodoloji içerisine almamaktadr. Bu admlarda bir saldr yönteminin ba³arsz olma (Meterpreter ba lants elde edilememesi gibi) veya saldr gerçekle³tirilmesinin uygun olmad (kritik sunucularda Mimikatz aracnn çal³trlmamas gibi) durumlara kar³n ek teknikler (yerle³ik komut setlerinin kullanlmas veya LSASS prosesinin dump dosyasnn elde edilmesi gibi) sunmaktadr. Bunun yannda PTES sadece szma testlerine yönelik bir çal³ma ortaya koyarken, hazrlanan bu tezde her adma kar³ alnmas gereken önlemler de belirtilmi³tir. 5.2 CEH (Certied Ethical Hacker) Ec-Council tarafndan hazrlanan CEH [129] ile 5 fazdan olu³an szma testi metodolojisi sunulmu³tur. Bu fazlar a³a daki gibi sralanabilir. Ke³if (Reconnaissance): Bu admda aktif veya pasif olarak bilgi toplanr. Tarama-Belirleme (Scanning-Enumeration): Hedef sistemin i³letim sistemi, açk portlar, bu portlarda çal³an servisleri, bu servislerdeki zayetler tespit edilir. Eri³im Elde Etme (Gaining Access): Hedef sistem üzerinde eri³im elde edilir. Eri³imi Sürdürme (Maintaining Access): Sistem üzerindeki eri³imin devamll sa lanr. zleri Silme (Clearing Tracks): Sistem üzerindeki braklan izler silinir. CEH tarafndan sunulan szma testi fazlar, tezde sunulan metodoloji gibi saldr admlarn kapsamakta olup, planlama ve raporlama admlar için ise en iyi uygulamalar (best practices) içermektedir. CEH tarafndan sunulan fazlar da PTES gibi genel kategoriler için hazrlanm³ olup ard³k admlar içermektedir. Buna ek olarak CEH, szma testlerinde kullanlan birbirinden farkl araçlar listelemektedir. Bu tezde sunulan MS- DEPTM de CEH gibi szma testleri için kullanlan farkl araçlar listelemektedir. Ancak MSDEPTM, CEH veya PTES gibi szma testleri için genel bir çerçeve ortaya koymayp, Microsoft etki alan için detayl bir metodoloji ortaya koyar ve bu metodolojinin her admn birbirinden farkl yöntemler ile listeler.

92 Bölüm 5. MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas OSSTMM (The Open Source Security Testing Methodology Manual) ISECOM (The Institute for Security and Open Methodologies) tarafndan hazrlanan OSSTMM [130] ile 6 bölümden olu³an szma testi metodolojisi sunulmu³tur. Bu bölümler a³a daki gibi sralanabilir. Bilgi Güvenli i Testleri (Information Security Testing): Kurumun de erlendirilmesi, bilgi varlklarnn incelenmesi, personelin denetimi gibi çal³malar gerçekle³tirilir. Süreç Güvenli i Testleri (Process Security Testing): Kurumun i³leyi³i ve süreçleri de erlendirilir. Bilgi Teknolojileri Güvenli i Testleri (Internet Technology Security Testing): En geni³ bölüm olup, a ve internet ortam üzerinden gerçekle³tirilebilecek testler incelenir. A taramas, servislerin ke³, güvenlik bile³enlerinin de erlendirilmesi, eri³im kontrolleri, istismar i³lemleri gerçekle³tirilen temel testlerdendir. leti³im Güvenli i Testleri (Communications Security Testing): Telefon, elektronik posta, uzaktan eri³im gibi ileti³im altyapsna ait bile³enler test edilir. Kablosuz A Güvenli i Testleri(Wireless Security Testing): Kablosuz a altyapsna ait bile³enler test edilir. Fiziksel Güvenlik Testleri (Physical Security Testing): izleme sistemlerine ait bile³enler test edilir. Giri³/çk³lar, alarm ve OSSTMM, szma testlerine oldukça üst perdeden bakar. Uygulama a rlkl olan szma testleri konusunu teorik çerçeveden inceler ve denetçi gözü ile kontrol tabanl bir metodoloji ortaya koyar. Di er taraftan MSDEPTM ise uygulama odakldr ve Microsoft etki alan szma testlerine teknik bir bak³ sunar.

93 Bölüm 5. MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas OWASP Test Rehberi (Open Web Application Security Project Testing Guide) OWASP tarafndan hazrlanan OWASP Test Rehberi [131] ile 10 bölümden olu³an szma testi metodolojisi sunulmu³tur. Bu bölümler a³a daki gibi sralanabilir. Yaplandrma ve Da tm Yönetimi Testi (Conguration and Deployment Management Testing): A, altyap, platform, HTTP metodlar vb. gerçekle³tirilir. ile ilgili testler Kimlik Yönetimi Testi (Identity Management Testing): Role, kayt olma süreci, hesap ke³, hesap izinleri vb. ile ilgili testler gerçekle³tirilir. Kimlik Do rulama Testi (Authentication Testing): Varsaylan kullanclar, hesap kilitleme mekanizmas, kimlik do rulamay atlatma, parola politikas, parola sfrlama süreci vb. ile ilgili testler gerçekle³tirilir. Yetkilendirme Testi (Authorization Testing): Dosya/dizin yetkilendirmesi, yetki yükseltme, nesne referanslar vb. ile ilgili testler gerçekle³tirilir. Oturum Yönetimi Testi (Session Management Testing): Çerezler, oturum sabitleme, oturum kapatma süreci, oturum zaman a³am vb. ile ilgili testler gerçekle³tirilir. Veri Do rulama Testi (Data Validation Testing): Girdilerin ve çktlarn do rulanmas ile ilgili testler gerçekle³tirilir. Hata Yakalama Testi (Testing for Error Handling): Hata kodlar ile ilgili testler gerçekle³tirilir. Zayf Kriptogra Testi (Testing for weak Cryptography): Kritiptograk algoritmalarn güvenli i, giden ve gelen gizli verilerin güvenli i vb. ile ilgili testler gerçekle³tirilir. ³ Mant Testi (Business Logic Testing): ³ ak³ ile ilgili testler gerçekle³tirilir. stemci Taraf Test (Client Side Testing): stemci tara kontroller ile ilgili testler gerçekle³tirilir.

94 Bölüm 5. MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas 79 OWASP Test Rehberi web uygulama testlerini oldukça detayl bir ³ekilde açklayan tecrübelere dayanlarak ortaya çkm³ ve günümüzde de güncelli ini koruyan ve kendisini geli³tiren bir rehberdir. Bu rehberde her saldrnn amac, nasl ve hangi araçlar ile gerçekle³tirilece i örnekler ve referanslar ile birlikte listelenmi³tir. OWASP tarafndan sunulan rehberde saldr admlarnn yannda muhtemel savunma admlar da sralanmaktadr. Bu tezde ortaya konulan MSDEPTM - kapsam ve ana hedef olarak farkl olsa da - OWASP Test Rehberi gibi, szma testlerinde kar³la³labilecek farkl durumlar için farkl yöntemler sunmaktadr. Bunun yannda, web uygulama testlerinin do asnda pek olmayan saldr döngüsünü MSDEPTM de incelenmektedir. 5.5 ISSAF (Information Systems Security Assessment Framework) Genele açk bir topluluk olan OISSG (Open Information Systems Security Group) tarafndan hazrlanan ISSAF [132] ile 3 fazdan olu³an bir yakla³m ortaya konmu³tur. lk fazda planlama ve hazrlk, ikinci fazda 9 admdan olu³an szma testi metodolojisi, üçüncü fazda ise raporlama ve kantlarn temizlenmesi incelenmi³tir. kinci faz olu³turan szma testi metodolojisinin admlar a³a daki gibi sralanabilir. Bilgi Toplama (Information Gathering): Hedef hakknda bilgi toplanr. A Haritalama (Network Mapping): Hedef a yaps çkarlr. Zayet Belirleme (Vulnerability Identication): Heden açk servislerinin sahip oldu u zayetler belirlenir. Szma Testi (Penetration): Güvenlik zayetleri istismar edilerek yetkisiz eri³im denemesi gerçekle³tirilir. Eri³im Elde Etme ve Hak Yükseltme (Gaining Access and Privilege Escalation): Hedefe eri³im sa lanr ve hak yükseltme saldrlar gerçekle³tirilir. Detayl nceleme (Enumerating Further): Kimlik do rulama saldrs, a dinleme gibi yöntemler ile detayl analiz gerçekle³tirilir. Uzak Kullanclar ve Hedeeri Ele Geçirme (Compromise Remote Users/Sites): Uzaktan çal³an personel veya di er ³iketler ele geçirilir.

95 Bölüm 5. MSDEPTM'nin Di er Metodolojiler ile Kar³la³trlmas 80 Eri³imi Sürdürme (Maintaining Access): Sistem üzerinde elde edilen eri³imin devamll sa lanr. zleri Silme (Cover Tracks): Sistem üzerindeki braklan izler silinir. ISSAF tarafndan sunulan kontroller szma testi metodolojisi olarak tanmlanabilse de aslnda birer güvenlik de erlendirme kontrol listesidir. Bu kontrol listesindeki her bir kontrol maddesi için tanm, gereksinim, nasl ve hangi araçlar ile gerçekle³tirilebilece inin adm, örnekleri, bu kontrol i³lemine kar³ önlemler ve referanslar bir rapor hazrlarm³ gibi ele alnr. Szma testinin bir çok kapsamnn ele alnmas ve oldukça detayl bir kaynak sunmas PTES ile de benzerlik gösterir. Ancak ISSAF'n admlardan ve yöntemlerden olu³an bir metodoloji yerine teknik bir kontrol madde listesi gibi ele alnmas ve bir çok szma testi kapsamna özel olarak hazrlanm³ olmas kendisini bu tezde sunulan MSDEPTM'den ayran en temel unsurlardandr.

96 Bölüm 6 Etki Alan Saldrlarna Kar³ Temel Korunma Yöntemleri Günümüzde siber saldrlarn artm³ olmas kurumlarn sistemlerine yönelik koruma mekanizmalarn güçlendirme ihtiyac do urmu³tur. Microsoft etki alannda için kurumlarda alnmas tavsiye edilen temel önlemler bu ba³lk altnda incelenecektir. 6.1 BIOS Yaplandrmas Etki alan szma testlerinde ziksel eri³im bulunan i³letim sistemlerinden SAM/SYSTEM dosyalar gibi kritik dosyalar alnabilmekte veya Utilman.exe gibi baz kritik dosyalarn bütünlü ü de i³tirilebilmektedir. Bu sebeple ziksel eri³im sa lanabilen bilgisayarn disk sistemine yetkisiz eri³im engellenmelidir. Disk sistemine yetkisiz eri³imi engellemek için gerçekle³tirilecek ilk admlardan birisi BIOS'un güvenilir olarak yaplandrlmasdr [133]. Güvenilir BIOS yaplandrmasnda a³a daki ayarlarn yaplmas tavsiye edilmektedir. BIOS ayarlarn okumak veya de i³iklik yapmak için parola korumas sa lanmaldr. Bilgisayar pili bitti inde BIOS parolasnn sfrlanabilmektedir. uzun süre bitmeyen güncel donanmlar tercih edilmelidir. Bu sebeple, pili Bilgisayar öncelikle harddiskten ba³layaca ³ekilde ayarlanm³ olmaldr. 81

97 Bolum 6. Etki Alan Saldrlarna Kar³ Temel Korunma Yöntemleri Disk ifreleme ekil 6.1: BIOS Parolasnn Olu³turulmas BIOS üzerindeki yaplandrmalar güçlü olsa bile, i³letim sisteminin yüklü oldu u harddisk sökülerek harici cihazlara taklabilir ve disk okunabilir. Bu duruma engel olabilmek için tam disk ³ifreleme teknolojileri kullanlmaldr. Microsoft tarafndan sunulan Bitlocker [134] sayesinde diskin tamam AES 128 veya AES 256 algoritmalar ile ³ifrelenir ve anahtarn (açl³ ve kurtarma anahtar) merkezi bir yerden yönetimine imkan verilir. Trusted Platform Module (TPM) ad verilen modül sayesinde bir PIN ve/veya anahtar dosyas kullanlarak ³ifreleme yannda bütünlük kontrolü de sa lanarak güvenlik daha da arttrlabilir. 6.3 A Yaplandrmas Kurumlarda saldrlarn d³ardan gelece i, kurum içerisinden bir saldr gerçekle³meyece i algs yaygn olabilmektedir. Bu sebeple a yaplandrmasna gereken önem verilmemekte, önleyici ve tespit edici mekanizmalar yeteri kadar kullanlmamaktadr. Güvenilir a yaplandrmasndaki [135] en önemli hususlar a³a daki gibi sralanabilir. Sunucu ve istemci a ayr olmaldr.