İşletmelerin Web Sitelerindeki Güvenlik Zafiyetlerini Uniscan ile Tespit Etme Okan Yıldız 1, Özer Subaşı 1, Emin Borandağ 1, Fatih Yücalar 1, Deniz Kılınç 1, okanyildiz1994@gmail.com,ozersubasi@gmail.com,emin.borandag@cbu.edu.tr, fatih.yucalar@cbu.edu.tr, deniz.kilinc@cbu.edu.tr 1 Software Engineering Department Celal Bayar Üniversitesi, Manisa Özet: Bilgi güvenliği denince aklımıza önce sistemler veya web uygulamaları gelse de güvenlik aslında insanla ilgilidir. Korumaya çalıştığımız veri bir işletmenin müşteri listesi, vatandaşların vergi bilgileri veya askeri sırlar olsa bile özünde yapmaya çalıştığımız şey bilişim altyapısını onu kullananlar ve ondan yararlananlar için daha güvenli hale getirmektir.bu bildiride hem sosyal mühendislik konusuna hem de sistem tarafına bakılarak sistemlerdeki güvenlik zafiyetlerini belirlemeye çalıştık. Anahtar Sözcükler: Sosyal Mühendislik,Uniscan, XSS, SQL Injection Identifying the Security Vulnerabilities of Company Web Sites by using UniScan Abstract: When it is said Information Security, web applications and information systems are the first concepts which come to mind. Actually, the security concerns people. Although our mission seems to protect information such as a company's customer list, citizens tax information or military secrets, the main objective is to make IT infrastructure of the systems more secure for the leveraging users. This paper aims to identify security vulnerabilities of the systems by focusing both social engineering and system side. Keywords: Social Engineering, Uniscan, XSS, SQL Injection 1. Giriş Günümüzde karşı karşıya kalınan saldırıların çok büyük bir kısmı insan kaynaklıdır ve aynı şekilde sistemleri değil, onları kullanan insanları hedef alır. Önemli güvenlik ihlaliyle sonuçlanan ve başarılı kabul edilebilecek saldırılar incelendiğinde öncelikle hedef alınan unsurun insan olduğu görülmektedir. Ayrıca saldırganların hedef aldıkları sistemler üzerinde pek çok teknik hata kaynaklı zafiyetlerin olduğu tespit edilmiştir. Teknik zafiyetleri istismar etmek, belli bir düzeyde teknik beceri ve kaynak gerektirmektedir. Bir başka açıdan bakılacak olursa da tespit edilen teknik bir zafiyeti gidermek, yayınlanacak bir yama veya güncelleme ile oldukça kolay olacaktır. Sosyal mühendislik saldırılarının hedef aldığı zafiyetler ise insanın doğasından kaynaklandığı için yama veya güncelleme ile giderilebilecek türden zafiyetler değildir. Benzer şekilde teknik zafiyeti olduğu bilinen bir sistemin önüne güvenlik duvarı (firewall) vb. bir güvenlik çözümü koyarak zafiyetin istismar edilmesi engellenebilir. Ancakilgili sistemi kullanan insanı bir güvenlik duvarına bağlamak mümkün olmayacaktır [1].
Çalışmanın ikinci bölümünde sosyal mühendislik kavramından, izlenen adımlar, hedef personel ve saldırı amaçlı kullanılan araçlardan bahsedilmiştir. Üçüncü bölümde sistem ve bilgi güvenliği konuları ele alınmıştır. Dördüncü bölümde Uniscan kullanımı ile sistem güvenliği testinin nasıl yapıldığı anlatılmıştır. Son bölümde ise sonuç ve önerilere yer verilmiştir. 2. Sosyal Mühendislik Sosyal mühendislik, teknolojiyi kullanarak ya da teknolojiyi kullanmadan insanlardan bilgi edinmesanatıdır. İnsanları kandırarak bilgi edinme ya da menfaat sağlama düşüncesi yeni değildir. Binlerce yıldır varlığını sürdürmektedir ve insanlar var oldukça da varlığını sürdüreceklerdir. Bu tip saldırılar günümüzde pek çok alanda yaygın olarak kullanılmaktadır. Günümüzde aralarında bilim, sanat ve iş dünyasından pek çok kişininhedef olduğu cep telefonu dolandırıcılıkları buna güzel bir örnek oluşturabilir. Kurumlar sistem güvenliğinisağlamak, kurum içi ağlarını ve sunucularını güvenilir ve sürekli çalışır halde tutmak için tedbir olarak en son teknolojiyle donatır. Teknolojik anlamda sistem her ne kadar sağlam duvarların arkasında çalışır olsa da, bu sistemi kullanacak olan personeller unutulmamalıdır. Kurumda çalışacak olan bireylere işe alım sürecinde hangi bilgilerin kurum içi mahrem olduğuna, şirket içi dâhili sürecin nasıl işleneceği ya da hangi personelin (kurum içi hangi bölümün) hangi bilgiye erişim yetkisi olabileceği konusunda eğitimler verilmelidir. Bu bağlamda sosyal mühendislik saldırıları, hedef olarak insanı alan, kişinin açıklıklarından faydalanarak gerekli bilgiyi toplamak üzerine yapılan saldırılardır. Bu saldırılarda hedefteki kişinin bilgisizliğinden, dikkatsizliğinden ve kişisel zaaflarından (hedefteki kişi hakkında saldırılmadan önce araştırılma yapılmışsa) faydalanılır. Bu kişiler saldırılarda karşıdaki aktöre göre kendilerine bir rol biçerler. Genel olarak saldırganlar arkadaş canlısı davranıp iyi ilişkiler geliştirmeyi, kendini karşı cins olarak tanıtıp etkilemek(genelde bu tip saldırganların hedefleri erkektir) ya da ast üst ilişkisinden faydalanır. Bu tip saldırıların tercih edilmesinin sebebi,sisteme doğrudan saldırı yapıp vakit kaybedileceğine kendilerine daha hızlı sonuç verecek atakları geliştirmektir. Sosyal mühendislik saldırılarında amaç; kurumun yapısı, kurumun ağ yapısı, müşteri listesi, çalışan ya da yöneticilerin kişisel bilgileri (adres, telefon, kimlik numarası, personel numarası vs.), kurum içi dâhili numaralar, şifreler ve herhangi bir saldırıda aleyhtekullanılmak üzere ne varsa elde etmektir. Trajikomik ama bu tip saldırılarda şifrenizi bile bazen kendi ellerinizle saldırganlara teslim edersiniz. Amerika Birleşik Devletleri nde 2001-2010 yılları arasında gerçekleşen bilgisayar olaylarının türlerine göre dağılımı verilmiştir. Amerika da yaşanmış olaylara bakıldığında bilgisayar suçlarında ilk üçsırayı %21 lik oranla çalınmış dizüstü bilgisayarlar, %16 ile hack olayları ve %13 ile web sitelerine yapılan saldırılar izlemektedir. Çalınmış bilgisayarlar, ortam ve sürücüler %32 lik bir orana sahip. Ama bu olayların siber suç kapsamında mı yoksa para için mi yapıldığı bilinmediğiiçin çalınmış donanımlar konusunda direk Sosyal Mühendislik saldırısıdır denilemez. Ancak yukarıda ki verilerden sosyal mühendislik teknikleri kullanılarak gerçekleşen Hack ve Hile olayları incelendiğinde karşımıza %24 lük bir oran çıkıyor ve bu da gerçek anlamda çok yüksek bir orandır [2]. Örnek: Soru: En güvenli bilgisayar kapalı bilgisayar mıdır? Siz ofiste değilken kapalı
durumdaki bilgisayarınızdan bilgi çalınması mümkün müdür? Cevap: Maalesef mümkündür. Saldırgan siz ofiste değilken, şirkete gelerek ya da telefon açarak çeşitli sosyal mühendislik teknikleriyle güvenlik görevlisi, sekreter ya da temizlik görevlisine bilgisayarınızı açtırıp, bir dizi komutlar girdirebilir. Bu tarz saldırılara karşı şirketinizde güvenlik önlemleri almak zorundasınız. İleriki bölümlerde değinilecek birkaç kurumdaki herkes bilgi güvenliğinden sorumludur cümlesinin kurulmasındaki sebep yukarıdaki gibi güvenlik görevlisinden temizlik görevlisine, sekreterden bilgi işlem personeline kadar herkesin saldırganın radarında yer aldığı gerçeğidir. 2.1.Sosyal Mühendisin Hedefindeki Personeller Kurumunuza yapılan saldırılarda, saldırganın kurumunuzda kendine seçtiği bir hedef kitlesi vardır.bunlardan beştanesi aşağıda verilmiştir [3]. Direkt ulaşılabilir personeller: Bu personeller direkt olarak müşterilerle ya da sağlayıcılarla iletişime geçen personellerdir. Teknik servis elemanları veya çağrı merkezi çalışanları bu grupta incelenir. Bu pozisyonda ki çalışanlarınız sıkı eğitimlerden geçirilmelidir. Üst düzey personeller:kurumunuzda pozisyonu gereği ayrıcalıklı yetkilere sahip olan çalışanlar saldırganların en çok hedef almak istediği kişilerdir. Kurum içerisindeki görevi gereği bir takım gizli bilgilere sahip olan bu kullanıcıların, saldırgan tarafından kandırılıp çeşitli bilgiler elde edilmesi kurumunuza oldukça fazla zarar verebilir. Yardımsever personeller: Bu başlıktaki personelleriniz kurum içinde, müşterilerine yardım ve destek için yetkisinden çok daha fazlasını kullanır. Ama bazen işler ters gidip yardım etmek istediği müşteri kurumunuza sızmak isteyen saldırgan olabilir. Kurumiçinde personellerin yetki sınırları belirlenip, bu sınırlar içerisinde görevlerini yerine getirilmesi gerektiği hatırlatılmalıdır. İşe yeni başlayan personeller: Kuruma yeni başlayan personeller, sisteme erişim hakkı bulunan ancakbunun tam olarak nasıl kullanılacağını bilmeyen personeller ya da yardım masası çalışanları, işle saldırgan arasındaki farkı ayıramayacak personeller kurum için oldukça tehlikeli sonuçlar doğurabilir. İşe yeni başlayan personellere sisteme erişim yetkisi verilmeden önce sıkı eğitimlerden geçirilmeli ve bu eğitim sonunda başarıya ulaştıktan sonra sisteme erişim yetkisi verilmelidir. Kandırılmış ya daikna edilmiş personeller:kurumunuzda hala aktif olarak çalışan ancakşirketinize olan bağlılığı zayıflamış, işten ayrılmayı düşünen personeller insani hırslardan ya da karşı tarafın verdiği büyük vaatlerden dolayı kuruma zarar verici bir eylemde bulunabilir. Kurum içerisindeki diğer çalışanlar ve insan kaynakları olumsuz davranışlar sergileyen personelleri amirlerine rapor etmelidir. 2.2. Sosyal Mühendislik Saldırılarında Kullanılan Araçlar Sosyal mühendislik saldırılarında saldırgan her zaman telefonla ya da kurumun içine sızarak tek başına bir şeyler yapmaz. Sosyal mühendisimizin ihtiyacına göre kullanacağı bir takım araçlar mevcuttur. Örnek olarak bir kuruma fiziksel olarak sızmış saldırgan yönetici konumdaki personelin bilgisayar ile klavye arasına fark edilemeyecek kadar ufak bir USBKeyLogger yerleştirebilir. Tabi bunun bir takım riskleri vardır.kaydedilen şifreleri görmek için tekrar kuruma sızıp USBKeyLogger ı alması gerekir. Başka bir örnek vermek gerekirse, saldırgan kurumda çalışan üst düzey personellerden birine ortam
dinleyicisi görevi gören bir mouse ya da kamera görevi gören şık ve pahalı bir kalem hediye edebilir. Bunun gibi akla gelmeyecek kadar yaratıcı birçok araç piyasada mevcuttur.düşük bir ücret karşılığında bu araçlara herkes sahip olabilir. Özellikle büyük ölçekli şirket ve kurumların bu gibi araçlara karşı ciddi güvenlik önlemleri alması gerekmektedir. Bu araçlardan bazıları Şekil 1 de görülmektedir [4]. inandırıcılığının artmasını sağlayabilir ve erişmek istediği bilgiye hızlıca erişebilir. İyi İlişkiler Kurarak Güven Kazanmak: Saldırgan bu evre de hedef olarak belirlediği kişi ile iş saatinde veya iş saatleri dışında iyi ilişkiler kurmayı amaçlayabilir. İş saatlerinde kişi ile güvene dayalı bir arkadaşlık kurmayı tercih edebilir veya iş saatler dışında gelişen kişisel ilişkileri istismar edebilir. Bunlardan bağımsız olarak kendini o bilgiye erişmek için yetkili kişi olduğuna ikna edebilir ya da kendini güvenli bir kaynak olarak tanıtabilir. Güveni İstismar Etmek: Saldırgan artık kurum hakkında yeterli bilgilere sahip olduktan sonra, bu bilgileri kullanarak şirket içinde kendine gerekli bilgileri sağlayabilecek güvenini kazanabileceği birilerini bulur. Artık tek yapması gereken özenle hazırladığı soruları hedefteki personele yönelterek ondan gerekli bilgileri toplamaktır. Şekil 1. Sosyal güvenlik saldırılarında kullanılan araçlar 2.3.Sosyal Mühendislik Saldırılarında İzlenilen Adımlar Sosyal mühendislik saldırılarında izlenen adımları; bilgi toplama, iyi ilişkiler kurarak güven sağlamak, güveni istismar etmek ve bilgiyi kullanma olmak üzere dört başlık altında inceleyebiliriz. Bilgi Toplama: Sosyal mühendisin yapacağı ilk iş bu adımdır. Kurum hakkında internetten, gazetelerden hatta bazen sizden kurum işleyişini ve kurum içinde kullanılan argümanları öğrenir. Bunu yapmasının amacı sorulan sorulara kısa zamanda doğru cevapları vermek ve kurum içinde kullanılan argümanları sıkça kullanmaktır. Bu şekilde Bilgiyi Kullanma: Kurban tarafından edinilen bilginin tutarlılığına bakılır. Eğer bilgi, istenilen bilgiyse saldırı amacına ulaşmıştır.sosyal mühendis artıkbilgiyi lehine kullanmaya başlayabilir. Saldırı amacına ulaşmamış ise önceki evrelere dönerek istenilen bilgiyi tekrar elde etmeye çalışır [5]. 3.Sistem Güvenliği Kurumlar için sürekli olarak gündemde kalan önemli konulardan biri bilgi güvenliği dir. Bilgi güvenliği kavramı, doğru teknolojinin doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda istenmeyen kişiler veya sistemler tarafından elde edilmesini önleme olarak ifade edilebilir [6]. Kurumların sahip olduğu bilgi varlıklarının hasarlardan korunması kaçınılmazdır. Doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak kurum bilgi varlıklarının bilgi
güvenliği yönetim sistemleriyle her türlü ortamda istenmeyen kişiler, kurumlar veya sistemler tarafından elde edilmesini önleme kurumsal bilgi güvenliğinin temelini oluşturur.özellikle artan riskler, yeni düzenlemeler ve uyumluluk yükümlülükleri, kurum ve kuruluşları, sağlam bir Bilgi Yönetimi Güvenlik Sistemi oluşturmaya zorlamaktadır [7]. Sistem güvenliği artık ağ tabanlı olmaktan çıktığı için uçtan uca güvenlik çözümleriyle önlem almak vazgeçilmez bir durum olmuştur. Bu durumda, şirketler için sadece ağ temelli güvenlik sağlayan Firewall ve IPS gibi ürünler ile beraber, Web Güvenliği, Son Kullanıcı Güvenliği, Network Erişim Kontrolü, Veri Kaybı Önleme (DLP) çözümlerini de güvenlik bütününü tamamlayan parçalar olarak ele almak gerekmektedir [8]. Daha önceki bölümde bahsedilen sosyal mühendislik saldırı yöntemleri haricinde sistemlerde bulunan açıklardan kaynaklanan saldırı yöntemleri de bulunmaktadır [9]. İşletmelerin web sitelerinin güvenliğini sağlamak için kullanılabilecek bazı hazır araçlar bulunmaktadır. Bunlardan biri olan Uniscan bir sonraki bölümde anlatılacaktır. 4. Uniscan Kullanımı ile Sistem Güvenliği Testi Uniscan Perl dili ile yazılmış açık kaynak kodlu Pentest aracıdır. Uniscan taramasıyla hedef site üzerindeki dizinler, klasörler ve XSS, LFI, RFI ve SQLinjection gibi güvenlik açıkları taranabilmektedir. Aynı zamanda, Uniscan taramasıyla sözlük denemesi yapılarak hedef sitenin admin panelininbulunması sağlanabilmektedir. Uniscan programı Kali işletim sistemi üzerinde çalıştırılabileceği gibi Windows işletim sistemi üzerindende çalıştırılabilir. Eğer Windows işletim sistemi kullanıyorsanız referansta verilen adresten Windows işletim sistemi için Kali programını indirip kurabilirsiniz. Bu sayede Windows işletim sistemi içerisinde web sitesi penatrosyon testi yapabilirsiniz [10]. Program içerisinden terminalaçılıp uniscan komutu çalıştırılır. Şekil 2. Programın çalıştırılması Şekil 2 degörüldüğü üzerebir takım tarama seçenekleri çıkmaktadır. Örnek vermek gerekirse, hedef site hakkında bir q Enable Directory Checks yapmak istenirse terminale uniscan u hedefsite.com q komutu yazılıp çalıştırılır. Şekil 2 de görüldüğü üzereweb sitesi üzerinde bir dizin kontrolü gerçekleştirildiğinde sitenin admin paneli, android ile ilgili yazılar gibi çeşitli bilgilere ulaşılmaktadır. Aşağıda yazan Remaining test: 1194 ise kalan dizin kontrolü sayısını vermektedir. Uniscan taraması ile sitelerde bazı açıkların bulunması da mümkündür. Bu tarama seçenekleri aşağıdaki verilmiştir: uniscan u hedefsite.com d komutu ile sistemde bulunan XSS ve RFI gibi açıklar bulunmaktadır. uniscan u hedefsite.com s komutu ile de sistemde bulunan diğer açıklar (SQLinjection, XSS, RFI ) bulunmaktadır. Uniscan taramasında birden fazla girdi ile de
arama yapmak mümkündür.şekil 3 te verilen ekran görüntüsündebunun örneği verilmiştir. Terminale uniscan u hedefsite.com qweds yazılıp komut çalıştırılmaktadır. Bu komut q dan başlayarak sırasıyla s ye kadar giden bir tarama sergiler. q Etkin Dizin Kontrolü w Dosya kontrolü e Robot.txt dosyasını gösterir d Sistemde bulunan XSS, RFI ve Backup Files açıklarını tarar. s Sistemde bulunan SQL Injection, XSS ve RFI açıklarını tarar. kullanılarak sosyal mühendislik temelli saldırılar engellenmeye çalışılabilir. Sistemlerin güvenlik açıklarının giderilmesi için ise hazır bazı güvenlik araçları kullanılabilir. Uniscan gibi hazır olan bir güvenlik aracı çeşitli komutlarla kullanılarak web sitelerinin güvenlik açıkları giderilebilir. 6.Referanslar [1]Çevrimiçi http://alperbasaran.com/index/ [2]Çevrimiçi https://www.bilgiguvenligi.gov. tr/sosyal-muhendislik/sosyal-muhendisliksaldirilari-3.html [3]Aldatma Sanatı Yazar : Kevin D. Mitnick Yayınevi: ODTÜ Baskı Yılı : 2013 [4]Çevrimiçi http://www.bilgimikoruyorum.o rg.tr/?b320_sosyal_muhendislik (Erişim Tarihi:28.10.2015). [5]Çevrimiçi: http://www.emo.org.tr/ekler/ 288230da3 7dbf3c_ek.pdf 5.Sonuç Şekil 3. Uniscan arama komutları Bilgi ve verilerimizin dijital ortama aktarılması nedeniyle, sanal ortamdaki verilerin güvenliğinin sağlanması büyük önem arz etmektedir. Kurum ve kuruluşların bu bilgilerinin güvenliğini tehdit eden en önemli konu ise siber saldırılardır. Bildiride anlatıldığı gibi siber saldırılar sosyal mühendislik ya da sistem üzerindeki açıklar kullanılarak yapılabilir. Yapılan saldırıların azımsanmayacak bir kısmı sosyal mühendislik saldırı yöntemleri ile yapıldığından bildiride anlatılan yöntemler [6]G. Canbek, Ş. Sağıroğlu, Bilgi ve Bilgisayar Güvenliği: Casus Yazılımlar ve Korunma Yöntemleri, Grafiker Ltd. Şti. Aralık 2006. [7]Ş.Sağıroğlu, (2012). Bilgisayar Güvenliğine Giriş Ders Notları, Gazi Üniversitesi [8]Çevrimiçi: http://www.aktuelsistem.com/ hizmetlerimiz/network/sistem-guvenligi, [9] Görkem Erdoğan, Şerif Bahtiyar, (2015) Sosyal Ağlarda Güvenlik, Akademik Bilişim 2015, Anadolu Üniversitesi, Eskişehir
[10]Çevrimiçi: http://sourceforge.net/projects/uniscan/