Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
T.C.
SÜLEYMAN DEMĠREL ÜNĠVERSĠTESĠ
FEN BĠLĠMLERĠ ENSTĠTÜSÜ
SĠBER GÜVENLĠK AÇISINDAN SIZMA TESTLERĠNĠN
UYGULAMALAR ĠLE DEĞERLENDĠRĠLMESĠ
Muhammed Alparslan AKYILDIZ
DanıĢman
Doç. Dr. Tuncay YĠĞĠT
YÜKSEK LĠSANS TEZĠ
ELEKTRONĠK HABERLEġME MÜHENDĠSLĠĞĠ ANABĠLĠM DALI
ISPARTA – 2013
© 2013 [Muhammed Alparslan AKYILDIZ]
TEZ ONAYI
Muhammed Alparslan AKYILDIZ tarafından hazırlanan "Siber Güvenlik Açısından
Sızma Testlerinin Uygulamalar Ġle Değerlendirilmesi‖ adlı tez çalıĢması aĢağıdaki
jüri üyeleri önünde Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü
Elektronik HaberleĢme Mühendisliği Anabilim Dalı‘nda YÜKSEK LĠSANS TEZĠ
olarak baĢarı ile savunulmuĢtur.
DanıĢman Doç. Dr. Tuncay YĠĞĠT
Süleyman Demirel Üniversitesi
Jüri Üyesi Prof. Dr. Mustafa MERDAN
Süleyman Demirel Üniversitesi
Jüri Üyesi Yrd. Doç. Dr. Arif KOYUN
Süleyman Demirel Üniversitesi
Enstitü Müdürü Doç. Dr. Ahmet ġAHĠNER
UYARI
Bu tezde kullanılan tüm test araçlarının, yöntemlerin, örneklerin ve yapılan testlerin
yasadıĢı kullanılması halinde tez danıĢmanı ve tezi hazırlayan sorumlu tutulamaz. Bu
çalıĢmada yer verilen tüm hususlar ile yapılan testlerin tümü eğitim-öğretim amaçlı
olup; bunların her ne Ģekilde olursa olsun yasadıĢı kullanılmasından doğabilecek
sonuçlar ve yasal yükümlülükler tez danıĢmanı ve tezi hazırlayanı bağlayıcı değildir,
tez danıĢmanı ve tezi hazırlayan sorumlu tutulamaz.
TAAHHÜTNAME
Bu tezin akademik ve etik kurallara uygun olarak yazıldığını ve kullanılan tüm
literatür bilgilerinin referans gösterilerek tezde yer aldığını beyan ederim.
Muhammed Alparslan AKYILDIZ
i
ĠÇĠNDEKĠLER
ĠÇĠNDEKĠLER ............................................................................................................. i
ÖZET............................................................................................................................ v
ABSTRACT ................................................................................................................ vi
TEġEKKÜR ............................................................................................................... vii
ġEKĠLLER DĠZĠNĠ ................................................................................................... viii
TABLOLAR DĠZĠNĠ .................................................................................................. xi
KISALTMALAR DĠZĠNĠ .......................................................................................... xii
1. GĠRĠġ ....................................................................................................................... 1
2. KAYNAK ÖZETLERĠ ............................................................................................ 4
3. MATERYAL VE YÖNTEM .................................................................................. 6
3.1. BiliĢim Güvenliği ........................................................................................... 6
3.1.1. BiliĢim güvenliğinin tarihçesi ............................................................... 6
3.1.2. BiliĢim güvenliğinin bileĢenleri ........................................................... 8
3.1.3. BiliĢim güvenliğinin terimleri .............................................................. 9
3.1.4. Temel Ağ Terimleri ............................................................................ 11
3.1.5. Sistemlerde kullanılan sunucular ........................................................ 13
3.2. BiliĢim Sistemlerinde Sızma Ve Ataklar ..................................................... 15
3.2.1. Bilgi toplama aĢaması......................................................................... 15
3.2.1.1. Ġnternetteki açık servisler üzerinden bilgi toplama ........................ 15
3.2.1.2. DNS protokolü aracılığı ile bilgi toplanması ................................. 17
3.2.1.3. Bilgi toplamak için kullanılan araçlar ............................................ 17
3.2.1.4. SNMP üzerinden bilgi alınması ..................................................... 18
3.2.1.5. Mail listelerini toplama .................................................................. 18
3.2.1.6. Ağ keĢfi .......................................................................................... 18
3.2.1.7. Servis versiyonu bilgi alma ........................................................... 22
3.2.1.8. Ağa giden yolun belirlenmesi ........................................................ 23
3.2.2. Sızma testlerinde yapılan ataklar ........................................................ 23
3.2.2.1. Fiziksel saldırılar ........................................................................... 23
3.2.2.2. Ağ ortadaki adam saldırıları .......................................................... 24
3.2.2.3. SSL ile ĢifrelenmiĢ kriptolu trafiklerde araya girme ..................... 28
3.2.2.4. DHCP üzerinden yapılan ataklar ................................................... 28
3.2.2.5. STP servis dıĢı bırakma saldırıları ................................................. 29
3.2.2.6. CDP servis dıĢı bırakma saldırıları ................................................ 29
3.2.2.7. MAC flooding saldırıları ............................................................... 29
3.2.2.8. VLAN atlatma atakları .................................................................. 30
ii
3.2.2.9. DNS üzerinden yapılan ataklar ...................................................... 30
3.2.2.10. Cookie enjektesi yöntemi .............................................................. 31
3.2.2.11. Parolalara yönelik yapılan saldırılar .............................................. 32
3.2.2.12. SQL injection ................................................................................. 32
3.2.2.13. XSS açıklıkları ............................................................................... 33
3.2.2.13.1. Reflected XSS saldırısı ....................................................................... 33
3.2.2.13.2. Stored XSS saldırısı ............................................................................ 34
3.2.2.13.3. CSRF (cross site request forgery) ...................................................... 35
3.2.2.14. Virüs saldırıları .............................................................................. 35
3.2.2.15. DOS ve DDOS ............................................................................... 36
3.2.2.16. IP tabanlı ses sistemlerine yapılan ataklar ..................................... 37
3.2.2.17. SCADA sistemlerine yapılan ataklar ............................................. 39
3.2.2.18. Kablosuz ağlara yapılan ataklar ..................................................... 40
3.2.2.18.1. WEP atakları ...................................................................................... 40
3.2.2.18.2. WPA (wifi protected access) atakları ................................................ 41
4. BĠLĠġĠM SĠSTEMLERĠNDE SIZMA TESTLERĠ SENARYOLARI .................. 42
4.1. Fiziksel Atak Uygulama Testleri ................................................................. 42
4.1.1. Hiren boot cd ile parolaların sıfırlanması ........................................... 42
4.1.2. Windows Utilman.exe zafiyeti ........................................................... 44
4.1.3. Windows parolalarının kırılması ........................................................ 45
4.2. Ağlarda Yapılan Ortadaki Adam Saldırıları ................................................ 47
4.2.1. Yerel ağlarda HTTP trafiğinden gönderilen parolaların alınması ...... 47
4.2.2. SSL trafiğinde araya girme ................................................................. 49
4.2.3. DNS aldatmacası ve ortadaki adam saldırısı ...................................... 52
4.3. VTP, STP, CDP Ve DHCP Üzerinden Yapılan Atak Uygulamaları ........... 54
4.3.1. CDP testi ............................................................................................. 54
4.3.2. DHCP üzerinden yapılan ataklar ........................................................ 56
4.3.3. Switch cihazını hub‘a dönüĢtürmek ................................................... 58
4.3.4. STP zafiyetleri üzerinden yapılan saldırılar ....................................... 59
4.3.5. VTP üzerinden yapılan DOS atak testi ............................................... 61
4.4. VLAN Atlama Saldırısı ............................................................................... 61
4.5. Windows Sunucu Ve Metasploitable Linux Üzerinde Yapılan Testler ....... 63
4.5.1. Microsoft Sunucu 2003 guvenlik testi ................................................ 63
4.5.2. Metasploitable2 Linux ĠĢletim Sistemi Üzerindeki Güvenlik Testi ... 67
4.5.2.1. Sistemdeki arka kapının incelenmesi ............................................. 67
4.5.2.2. Vs ftpd açıklığı .............................................................................. 68
4.5.2.3. Samba buffer overflow açıklığı ..................................................... 69
iii
4.6. Parola Atakları Testi .................................................................................... 69
4.6.1. Windows Xp host parola kırma atağı ................................................. 69
4.6.2. Linux parola kırma saldırısı ................................................................ 72
4.6.3. Rooter SSH Ģifresini sözlük atak ile kırmak....................................... 74
4.6.4. Sözlük ataklar için liste oluĢturma yöntemleri ................................... 75
4.7. Sahte Mail Ġle Oltalama (Phising) Testi ....................................................... 76
4.8. Kablosuz Ağ Testleri ................................................................................... 78
4.8.1. WEP Ģifrelere yönelik Ģifre kırma atakları ......................................... 78
4.8.2. WPA2 Ģifrelemeye yönelik yapılan ataklar ........................................ 81
4.8.3. Sahte eriĢim noktası oluĢturularak son kullanıcılara yapılan ataklar . 82
4.9. Son Kullanıcılara Gönderilen Virüs Arka Kapı Testleri .............................. 84
4.10. Güvenlık Duvarı Kurallarını Atlatmak ........................................................ 87
4.10.1. Port yönlendirme ile güvenlik duvarı atlatma uygulaması ................. 87
4.10.2. Http tünelleme yöntemi ...................................................................... 88
4.10.3. SSH tünelleme testi ile güvenlık duvarı atlatma ................................ 89
4.10.4. IP aldatmacası yöntemi ile eriĢim izinlerinin aĢılması ....................... 91
4.11. WEB uygulama testleri ................................................................................ 93
4.11.1. DWVA WEB güvenlik testleri ........................................................... 93
4.11.1.1. Brute force yöntemi ....................................................................... 93
4.11.1.2. Komut yürütme atağı ..................................................................... 93
4.11.1.3. Csrf açıklığı istismarı ..................................................................... 94
4.11.1.4. Dosya yükleme açıklığı ................................................................. 95
4.11.1.5. SQL injection açıklığı .................................................................... 96
4.11.1.6. Stored XSS açıklık incelemesi ....................................................... 97
4.11.1.7. Reflected XSS açıklık uygulaması ................................................ 98
4.11.2. Webgoat üzerinde yapılan güvenlik testleri ....................................... 99
4.11.2.1. EriĢim kontrol açıklıklıkları ........................................................... 99
4.11.2.2. Dom tabanlı açıklıklar ................................................................. 103
4.11.2.3. XML injectıon tekniği ile web açıklıklarının istismar edilmesi .. 106
4.11.2.4. Eval kodunun tehlikeli kullanımı ................................................. 107
4.12. Servis DıĢı Bırakma (DOS) Atak Testleri ................................................. 108
4.12.1. SYN flood testi ................................................................................. 108
4.12.2. UDP flood testi ................................................................................ 109
4.12.3. ICMP flood testi .............................................................................. 109
5. ARAġTIRMA BULGULARI VE TARTIġMA.................................................. 111
5.1. Sızma Testlerinin Değerlendirilmesi Ġçin Örnek Uygulama Senaryosu .... 111
5.2. Sızma Testleri Sonucu Alınması Gereken Önlemler ................................. 112
iv
5.2.1. Bulgular ............................................................................................ 112
5.3. Sızma Testleri Sonucu Tavsiyeler ............................................................. 113
5.3.1. Politika oluĢturulması ....................................................................... 113
5.3.2. Standart Uygulamaları ...................................................................... 114
5.3.3. Periyodik sızma testleri yaptırılması ................................................ 114
5.3.4. Sızma testlerindeki zafiyetlerin kapatılması ..................................... 114
5.4. Ġhtiyaca Yönelik Güvenlik Çözümleri ....................................................... 115
5.4.1. Fiziksel güvenlik .............................................................................. 115
5.4.2. Teknik güvenlik için yapılması gerekenler ...................................... 115
5.5. Son Kullanıcı Farkındalığı ......................................................................... 117
5.6. ÇalıĢan Kalitesinin Arttırılması ................................................................. 117
5.7. Eğitim Yatırımlarının Yapılması ............................................................... 118
5.8. Akademik ÇalıĢmaların Arttırılması .......................................................... 118
5.9. Savunma Sistemlerinin Ġyi Yapılandırılması Ve Güvenlik Yatırımları ..... 118
6. SONUÇ ............................................................................................................... 119
KAYNAKLAR ........................................................................................................ 121
ÖZGEÇMĠġ ............................................................................................................. 124
v
ÖZET
Yüksek Lisans Tezi
SĠBERGÜVENLĠK AÇISINDAN SIZMA TESTLERĠNĠN UYGULAMALAR
ĠLE DEĞERLENDĠRĠLMESĠ
Muhammed Alparslan AKYILDIZ
Süleyman Demirel Üniversitesi
Fen Bilimleri Enstitüsü
Elektronik HaberleĢme Mühendisliği Anabilim Dalı
DanıĢman: Doç. Dr. Tuncay YĠĞĠT
BiliĢim güvenliği, dijital ortamda depolanan bilgilerin üçüncü Ģahıslar tarafından ele
geçirilmesini önlemek için verilmesi gereken uğraĢların tümüdür. Bu bağlamda,
alınması gereken önlemlerden bir tanesi de sızma testlerinin uzman kiĢiler tarafından
gerçekleĢtirilmesidir. Sızma testleri sayesinde biliĢim sisteminde var olan açıklıklar,
üçüncü Ģahıslar tarafından bulunmadan, BiliĢim Sistemi uzmanları tarafından
bertaraf edilerek veri ve bilgi güvenliği sağlanmıĢ olur. Bu çalıĢma ile sızma
testlerinin öneminin vurgulanması açısından, gerekli servis ve sunucu kurulumları
hazırlanarak, uygun olabilecek sunucu sanallaĢtırma iĢlemleri yapılmıĢ, gerekli ağ
kurulumları gerçekleĢtirilmiĢ ve sızma testleri için bir uygulama benzetimi
hazırlanmıĢtır. GeliĢtirilen bir ağ prototip ile uygulama alanında gerçek hayatta
karĢılaĢılan saldırıların uygulaması yapılarak, sızma testi yapılmamıĢ yada saldırı
mantığı olmaksızın yapılandırılmıĢ olan güvenliğin nasıl geçildiği, sistemlere nasıl
sızıldığı gösterilmiĢ, bunun sonucunda sızma testlerinin önemi vurgulanarak, siber
güvenlik bilincinin oluĢturulmasına katkı sağlanmıĢtır. Sonuç olarak, prototip
üzerinde yapılan deneysel çalıĢmalar ile sızma testlerinin önemi ortaya konarak; bu
konuda bir farkındalık oluĢturularak öneriler sunulmuĢtur.
Anahtar Kelimeler: Ağ sızma testi, Uygulama sızma testi, Fiziksel güvenlik,
Hacking, IPS, IDS, Bilgi Güvenliği, Ġstismar Kodu, Network Güvenliği, Pentest, Sızma
Testi, Web Sızma Testi, Network sızma Testi, Parola Atakları, Wireless Sızma Testi.
2013, 124 sayfa
vi
ABSTRACT
M.Sc. Thesis
THE EVALUATION WITH APPLICATION OF PENETRATION TESTS
FOR CYBER SECURITY
Muhammed Alparslan AKYILDIZ
Süleyman Demirel University
Graduate School of Applied and Natural Sciences
Department of Electronics and Communication Engineering
Supervisor: Assoc. Prof. Tuncay YĠĞĠT
Information technology security is the whole deal that should be given in order to
avoid the seizure of the information stored in digital format by third parties. In this
context, one of the measures to be taken is the penetration test which should be
carried out by the experts in the field of cyber security. Data and information security
can be ensured when the existent openings in the information technology systems
have been handled by the cyber security experts through the penetration tests without
being found out by third parties. The appropriate server virtualization transactions
were made by preparing the necessary service, server and network installations and
putting them in practice from the point of view of highlighting the importance of
penetration testing in this study; and an application simulation was designed for
penetration tests. It was shown in a virtual environment how to penetrate the cyber
system built by ignoring the logic of cyber attacks and without being tested for cyber
security by the means of the applications of the cyber attacks encountered in the real
life that were made by using the network installed as a prototype. As the result of the
applications, the formation of the awareness of cyber security has been made by
emphasizing the importance of penetration tests. As a result, the importance of
penetration tests has been exihibited by means of the experimental studies realized
on the prototype system, and an awareness on this issue has been created, and some
recommendations have been submitted.
Keywords: Hacking, IPS, IDS, Exploit, Network Security, Pentest, Penetration Test, Web Penetration Test, Network Penetration Test, Password Atacks, Wireless Penetration Test
2013, 124 pages
vii
TEġEKKÜR
Yüksek lisansım boyunca ve bu tez çalıĢmamda bilgisini, deneyimlerini ve
desteklerini esirgemeyen DanıĢmanım Sayın Doç. Dr Tuncay YĠĞĠT‘e, mesleki ve
öğrenim yaĢamımda yardımlarını esirgemeden hep yanımda olan sevgili eĢime ve
beni bu günlere getiren aileme sonsuz minnet duygularıyla teĢekkür ediyor, sevgi ve
saygılarımı sunuyorum.
Muhammed Alparslan AKYILDIZ
ISPARTA, 2013
viii
ġEKĠLLER DĠZĠNĠ
ġekil 3.1. Ağ Katmanları ............................................................................................ 13 ġekil 3.2. Örnek ağ yapısı .......................................................................................... 14 ġekil 3.3. Üç‘lü el sıkıĢma ......................................................................................... 20 ġekil 3.4. Portların KapanıĢı ...................................................................................... 20
ġekil 3.5. Banner yakalama ........................................................................................ 22 ġekil 3.7. NDP çalıĢma mantığı ................................................................................ 27 ġekil 3.8. IPV6‘da yapılan ortdaki adam saldırısı ..................................................... 28 ġekil 3.9. Örnek DNS sorgusu ................................................................................... 31 ġekil 3.10 Reflected XSS atağı .................................................................................. 34
ġekil 3.11. Stored XSS atağı ..................................................................................... 34
ġekil 3.12. IP telefonlar arasında oturumun baĢlaması .............................................. 38
ġekil 3.13. Standart bir SCADA sistemi .................................................................... 40 ġekil 4.1. Hiren boot cd ile bilgisayarın açılıĢ ekranı ................................................ 42 ġekil 4.2. Parolaların bulunduğu yer .......................................................................... 43 ġekil 4.3. Parolaların değiĢtirilmesi ........................................................................... 43 ġekil 4.4. Utilman.exe dosyasının bulunduğu yer...................................................... 44
ġekil 4.5 Cmd.exe dosyasınn kopyalanması .............................................................. 44
ġekil 4.6 AçılıĢ ekranında utiman.exe simgesi ile konsol eriĢimi .............................. 45 ġekil 4.7. Linux bölümleri ......................................................................................... 45 ġekil 4.8. /dev/sda6 bölümünün bağlanması .............................................................. 46
ġekil 4.9. Sam dosyalarının elde edilmesi ................................................................. 46
ġekil 4.10. Sam dosyalarının kırılması ...................................................................... 46
ġekil 4.11. Route tablosu ........................................................................................... 47 ġekil 4.11. Wireshark çıktısı ...................................................................................... 48
ġekil 4.12 Wireshark‘tan elde edilen Ģifreler ............................................................. 48 ġekil 4.13. Ettercap‘ten görüntülenen trafik .............................................................. 48 ġekil 4.14. Driftnet aracı çıktısı ................................................................................. 49
ġekil 4.15. Akan trafikte gözlenen URL‘ler .............................................................. 49 ġekil 4.16. Atak yapılan kiĢinin gördüğü SSL‘siz hotmail sayfası ............................ 50
ġekil 4.17. Atak yapılan kiĢinin SSL‘siz facebook sayfası ........................................ 51 ġekil 4.18. Set aracı konsolu ...................................................................................... 52 ġekil 4.19. DNS aldatmacası için hazırlanmıĢ dns kayıtları ...................................... 53 ġekil 4.20. Dnsspoof aracının aktif hale getirilmesi .................................................. 53
ġekil 4.21. DNS aldatmacası sonrası son kullanıcının yönlendirldiği sahte sayfa .... 53 ġekil 4.22. Son kullanıcının giriĢ bilgileri ................................................................. 54
ġekil 4.23. CDP paketi ............................................................................................... 54 ġekil 4.24. Yersinia aracından CDP atağının baĢlatılması ......................................... 55 ġekil 4.25. Wireshark‘ta atak anının görüntülenmesi ................................................ 55 ġekil 4.26. Routerın cpu değerleri.............................................................................. 56 ġekil 4.27. Yersinia aracı ile DHCP atağının baĢlatılması......................................... 56
ġekil 4.28. Wireshark DHCP atak çıktısı ................................................................... 57 ġekil 4.29. Gönderilen DHCP paket sayısı ................................................................ 57 ġekil 4.30. DHCP üzerinden ortadaki adam saldırısı için yersinia modülü ............... 57 ġekil 4.31. Mac flood saldırısı sniffer çıktısı ............................................................. 58
ġekil 4.32. Macof aracının saldırı anında konsol görüntüsü ..................................... 58 ġekil 4.33. Saldırıdan etkilenen son kullanıcının ARP tablosunun bir kısmı ............ 59 ġekil 4.34. Saldırı sonrası atağın baĢarılı olduğuna dair wireshark çıktısı ................ 59
ġekil 4.35. STP atak senaryosu .................................................................................. 60
ix
ġekil 4.36. STP paket içeriği ve yersinia aracı ile atağın tetiklenmesi ...................... 60 ġekil 4.37. Atak yapılan switchin CPU değerleri ...................................................... 61 ġekil 4.38. Yersinia aracı ile tetiklenen VTP atağın switch üzerindeki sonuçları ..... 61 ġekil 4.39. DTP‘den yararlanılarak portun trunk moda alınması .............................. 62
ġekil 4.40. Linux tarafında etiket eklenilmesi ........................................................... 62 ġekil 4.41. Switch‘in port durumu ............................................................................. 63 ġekil 4.42. Ağ port tarama sonuçları .......................................................................... 64 ġekil 4.43. Ağ iĢletim sistemi tarama sonuçları ......................................................... 64 ġekil 4.44. Nessus zafiyet tarama aracının bulduğu açıklıklar .................................. 65
ġekil 4.45 ms08_067_netapi açıklığının istismar edilmesi ........................................ 66 ġekil 4.46. Parolasız uzak masa üstü bağlantılarının bulunması ............................... 66 ġekil 4.47. Metasploitable üzerinde bulunan açıklıklar ............................................. 67
ġekil 4.48. Bulunan arka kapının istismarı ................................................................ 68 ġekil 4.49. Vsftpd açıklığının istismar edilmesi ........................................................ 68 ġekil 4.50. Buffer overflow açıklığının istismar edilmesi ......................................... 69 ġekil 4.51. Truva atı hazırlanması ve web sunucuda konumlandırılması .................. 70
ġekil 4.52. Dinleme noktası oluĢturulması ................................................................ 70 ġekil 4.53. Sitemin ele geçirilmesi ve sistem üzerinde ilerlenilmesi ......................... 71 ġekil 4.54. Sistem üzerinde keylogger çalıĢtırılması ................................................. 71 ġekil 4.55. Nt parolaların rainbow yöntemi ile kırılması ........................................... 72
ġekil 4.56. Linux için truva atı oluĢturulması ............................................................ 72 ġekil 4.57. Linux sistemin ele geçirilmesi ................................................................. 73
ġekil 4.58. Sitemin Ģifrelerinin kırılması ................................................................... 73 ġekil 4.59. Hydra ile sözlük atak ............................................................................... 74
ġekil 4.60 Wireshark sözlük atak çıktıları ................................................................. 74 ġekil 4.61 Parolanın bulunması ................................................................................. 74
ġekil 4.62. Cupp aracı ile sözlük hazırlanması .......................................................... 75 ġekil 4.63. Sahte mail oluĢturma................................................................................ 76 ġekil 4.64. OluĢturulan sahte sayfa ............................................................................ 77
ġekil 4.65. Son kullanıcının kutulara yazdıklarının ekrana düĢmesi ......................... 77 ġekil 4.66. Wlan0 arayüzünün monitor moda alınması ............................................. 78
ġekil 4.67. Havadaki kablosuz ağ sinyallerinin dinlenilmesi .................................... 79
ġekil 4.68. Gizli SSID‘nin tespiti ............................................................................... 79 ġekil 4.69. Kablosuz ağda paket toplama .................................................................. 80
ġekil 4.70. Kablosuz ağ Ģifresinin kırılması .............................................................. 81 ġekil 4.71. WPA2 Ģifresinin kırılması........................................................................ 82
ġekil 4.72. Sahte eriĢim noktası oluĢturma ................................................................ 83 ġekil 4.73. Sahte eriĢim noktası üzereinden DNS aldatmacası .................................. 83 ġekil 4.74. Windows ortamı için truva atı hazırlanması ve sistemi ele geçirme ....... 84 ġekil 4.75. Ele geçirilen sistemde ilerleme ................................................................ 85 ġekil 4.76. Ele geçirilen sistemde uzak masaüstü bağlantısını aktif hale getirme ..... 86
ġekil 4.77. Hedef sisteme yapılan masa üstü bağlantısı............................................. 87 ġekil 4.78 /etc/rinetd.conf dosyası konfigürasyonu ................................................... 88 ġekil 4.79. Http üzerinden tünelleme senaryosu ........................................................ 89 ġekil 4.80 Windows ortamında çalıĢan truva atı oluĢturulması ................................. 90 ġekil 4.81. Plink ile SSH sunucuya ters tünelleme .................................................... 91
ġekil 4.82. Hedef sistemde çalıĢtırılacak kodların oluĢturulması .............................. 92
ġekil 4.83. GiriĢ sayfası ............................................................................................. 93 ġekil 4.84. Komut çalıĢtırma ...................................................................................... 94 ġekil 4.85. CSRF açıklığı barındıran kod kümesi ...................................................... 94
x
ġekil 4.86. Csrf açıklığının istismarı .......................................................................... 95 ġekil 4.87. Dosya yükleme......................................................................................... 96 ġekil 4.88. SQL injection saldırısı ............................................................................. 96 ġekil 4.89. SQL injection saldırısı ile ele geçirilen veri tabanları ............................. 97
ġekil 4.90. Stored XSS açıklığı bulunduran kodların istismarı ................................. 98 ġekil 4.91. Reflected XSS açıklığının istismarı ......................................................... 99 ġekil 4.92. ID numaralarının değiĢtirilmesi ............................................................. 100 ġekil 4.93. Yasaklı hesaba eriĢim ............................................................................ 101 ġekil 4.94. Tan numaralarının Burp ile değiĢtirilmesi ............................................. 102
ġekil 4.95. Saklı kullanıcıların isimlerinin Burp ile değiĢtirilmesi .......................... 103 ġekil 4.96. Sayfaya resim yüklenilmesi ................................................................... 104 ġekil 4.97. XSS açıklığı ........................................................................................... 104
ġekil 4.98. Iframe kodu ile test edilmesi halinde XSS açıklığı ................................ 104 ġekil 4.99. XSS açıklığından yararlanılarak sahte login sayfası oluĢturulması ....... 105 ġekil 4.100. XML injection yönteminin burp aracı ile uygulanması ....................... 106 ġekil 4.101. Eval açıklığının kullanılması ............................................................... 107
ġekil 4.102. Eval açıklığının istismar edilmesi ........................................................ 108 ġekil 4.103. SYN saldırısı sonucu routerın CPU değeri .......................................... 109 ġekil 4.104. UDP servis dıĢı bırakma saldırısı ......................................................... 109 ġekil 4.105 ICMP üzerinden yapılan servis dıĢı bırakma saldırısı .......................... 110
ġekil 5.1. Kurgulanan ağ yapıları ............................................................................. 111 ġekil 5.2. Kurgulanan ağın topolojisi ....................................................................... 112
xi
TABLOLAR DĠZĠNĠ
Tablo 3.1. Google anahtar arama kelimeleri .............................................................. 16 Tablo 3.2. Dns kayıt türleri ........................................................................................ 17 Tablo 3.3. Xss ataklarında kulanılan javasript kodları ............................................... 33 Tablo 3.4. Sip istekleri ............................................................................................... 37
Tablo 3.5. Sip cevapları ............................................................................................. 38
xii
KISALTMALAR DĠZĠNĠ
ACK Acknowledge (Onay Paketi)
ARP Adress Resolotion Protokol (Adres Çözümleme Protokolü)
ARPANET Advanced Research Projects Agency Network (GeliĢmiĢ AraĢtırma
Projeleri Dairesi Ağı)
BPDU Bridge Protocol Data Unit (Köprü Protokolü Data Ünitesi)
BT BiliĢim Teknolojileri
CAM Content Adress Memory Table (Hafıza Adres Ġçerik Tablosu)
CDP Cisco Discovery Protocol (Cisco KeĢif Protokolü)
CERT
Koordinasyon
Merkezi Computer Emergency Response Team Coordination Center
CPU Central Process Unit (Merkezi ĠĢlem Ünitesi)
CSRF Cross Site Forgery (Çapraz Site Sahtecilik Betik Saldırısı)
CWR Congestion Window Reduced (Pencere ÇarpıĢması Azaltma Paketi)
DDOS Distributed Denial-of-Service (Dağıtık Servis DıĢı Bırakma Saldırısı)
DHCP Dynamic Host Configuration Protocol (Dinamik Host Yapılandırma
Protokolü)
DLP Data Leakage Prevention System (Data Sızması Engelleyici Sistem)
DNS Domain Name System (Ġsim Çözümleyici Sistem)
DOS Denial-of-Service (Servis DıĢı Bırakma Saldırısı)
DTP Dynamic Trunking Protocol (Dinamik Trunk Protokolü)
DVWA Damn Vulnerable Web Application (Zafiyet Barındıran Web
Uygulaması)
EAP Extensible Authentication Protocol (Kapsamlı Doğrulama Protokolü)
ECE Explicit Congestion Notification Echo (ÇarpıĢma Bildirim Paketi)
FTP File Transfer Protocol (Dosya Transfer Protokol)
GPS Global Positioning System (Küresel Konumlama Sistemi)
GSM Global System for Mobile Communications (Küresel Mobil ĠletiĢim
Sistemi)
HTTP Hyper Text Transfer Protocol (Hiper Metin Aktarım Protokolü)
HTTPS Hyper Text Transfer Protocol Secure (Güvenli Hiper Metin Aktarım
Protokolü)
ICMP Internet Control Message Protokol (Ġnternet Mesaj Kontrol Protokolü)
IDS Intrusion Detection System (Sızmayı Belirleyen Sistem)
IP Internet Protocol (Ġnternet Protokol)
IPS Intrusion Prevention System (Sızma Engelleyici Sistem)
IPSEC Internet Protocol Security (Ġnternet Protokolü Güvenliği)
IRC Internet Relay Chat (Internet Aktarımlı Sohbet)
IV Initilization Vector (BaĢlangıç Vektörü)
KVM Klavye Video Mouse
MAC Media Access Control (Medya EriĢim Kontrol)
MD5 Message-Digest algorithm 5 ( Mesaj Özet Algoritması 5)
MTU Maximum Transfer Unit (Maksimum Transfer Ünitesi)
NAC Network Admission Control (Ağ GiriĢ Kontrol)
NAT Network Adress Translation (Ağ Adres Çevirimi)
NetBios Network Basic Input/Output System (Network Temel Girdi/Çıktı
Sistemi)
NFS Network File System (Ağ Dosya Sistemi)
xiii
Ns packet Neighbor Solicitation Packet (KomĢu Ġstem Paketleri)
OSI Open System Interconnection (Açık Sistem Bağlantı)
OWASP Open Web Application Security Project (Açık Web Uygulama
Güvenlik Projesi)
PC Personel Computer (KiĢisel Bilgisayar)
PLC Programmable Logic Controller (Programlanabilir Mantıksal
Denetleyici)
PSH Push
Ra packet Router Advertisement Packet (Yönlendirici Duyuru Paketi)
RDP Remote Desktop Protokol (Uzak Masaüstü Bağlantı Protokolü)
RPC Remote Procedure Call (Uzaktan Arama Prosedür)
Rs packet Router Solicitation Packet (Yönlendirici Ġstem Paketi)
RST Retransmission (Yeniden Gönderme)
RTP Relaible Transfer Protokol (Güvenli Transfer Protokolü)
SBD Secure Backdoor (Güvenli Arka Kapı)
SCADA Supervisory Control and Data Acquisition (Uzaktan Kontrol ve
Gözleme Sistemi)
SHA512 Secure Hashing Algorithm 512 (Güvenli Hash Algoritması 512)
SIP Session Ġnitiation Protocol (Oturum BaĢlatma Protokolü)
SMB Server Message Block (Sunucu Mesaj Bloğu)
SMTP Simple Mail Transfer Protokol (Basit Mail Transfer Protokolü)
SNMP Simple Network Menagemant Protocol (Basit Ağ Yönetim Protokolü)
SQL Struct Query Language (Yapısal Sorgulama Dili)
SSH Secure Shell (Güvenli Kabuk Bağlantısı)
SSID Service Set Ġdentifier (Servis Ġsmi Belirleyici)
SSL Secure Sockets Layer (Güvenli Soket Katmanı)
STP Spanning Tree Protocol
SYN Syncronization (Senkronizasyon Bayrağı)
TCP Transmission Control Protokol (Ġletim Kontrol Protokolü)
TKIP Temporary Key Ġntegration Protocol (Geçici Anahtar Entegrasyon
Protokolü)
TLS Transport Layer Security (TaĢıma Güvenlik Katmanı)
TTL Time To Live (Paket YaĢam Süresi)
UDP User Datagram Protocol (Kullanıcı Veri Bloğu ĠletiĢim Protokolü)
URG Urgent (Acil)
URL Uniform Resource Locator (Tekdüzen Kaynak Bulucu)
VLAN Virtual LAN (Sanal Yerel Alan Ağı)
VPN Virtual Private Network (Özel Sanal Ağ)
VTP Vlan Trunking Protocol (Sanal Yerel Ağ Trunk Protokolü)
WAF Web Application Firewall (Web Uygulama Güvenlik Duvarı)
WEP Wired Equivalent Privacy (Kabloya EĢdeğer Mahremiyet)
WLAN Wireless LAN (Kablosuz Yerel Ağ)
WPA Wi-Fi Protected Access (Wi-Fi Korumalı EriĢim)
XSS Cross Site Scripting (Çapraz Site Betik Saldırısı)
1
1. GĠRĠġ
BiliĢim güvenliği, dijital ortamda depolanan bilgilerin üçüncü Ģahıslar tarafından ele
geçirilmesini önlemek, bilgi transferi sırasında bilginin bütünlüğünün ve yapısının
bozulmadan aktarılmasını sağlamak, sistemlere yetkisiz kiĢilerin eriĢmesini
engellemek, sistemin sürekli olarak eriĢilebilir olmasını sağlamak için verilmesi
gereken uğraĢların tümüdür (Resmi Gazete, 2013). Son yıllarda gerçekleĢtirilen siber
saldırılarda son kullanıcıların kredi kartı Ģifrelerinin, mail hesaplarının çalınmasının
yanı sıra SCADA (Supervisory Control and Data Acquisition - Denetleme, Kontrol
ve Veri Toplama) sistemleri üzerinden elektrik sistemlerinin alt yapılarına yapılan
saldırılar, bir ülkenin tüm alt yapısının felç edebilecek hale getirilebileceğini ortaya
koymaktadır. Evlerde kullanılan IP (Internet Protocol - Ġnternet Protokol) tabanlı
cihazlar, otomasyon sistemleri, televizyon, akıllı cep telefonları gibi internet
protokolleri ile çalıĢan tüm sistemlere saldırı yapılabileceği göz önüne alındığında,
biliĢim güvenliğinin ne kadar önem arz ettiği daha iyi anlaĢılabilir. Gerek istihbarat
çalıĢmalarında, gerekse ileride çıkabilecek siber savaĢlara hazırlık için devletler
kendi siber ordularını yapılandırmaktadırlar. Hal böyle iken yapılan saldırıların
terminolojilerinin iyi anlaĢılması, ağ ve yazılım güvenliğinin sağlanması, siber
güvenlik bilincinin oluĢturması ve gerekli eğitimlerin ilgili kiĢilere verilmesi hayati
bir önem taĢımaktadır. Keza günümüzde güvenlik açıklıklarının sorumlu ve yetkili
kiĢiler tarafından önceden belirlenmesi ve açıklarının kapatılması sosyal, ekonomik
ve siyasal düzenin devamında en stratejik olgulardan birisini teĢkil etmektedir.
Siber saldırılar birçok alanda yapılmaktadır. BT (biliĢim teknolojileri) personeli
kılığına giren kiĢiler tarafından herhangi bir bankadaki bilgisayara yerleĢtirilen KVM
(Klavye Video Mouse) switch görünümündeki kablosuz yönlendiriciler sayesinde
bankadan yüklü para transferlerinin yapılması, GPS (Global Positioning System -
Küresel Konumlama Sistemi) sinyallerinin taklit edilerek uçakların rotalarının
değiĢtirilmesi, stuxnet virüsü ile kapalı ağdan bilgi sızdırılması ve devletlerarası
yapılan ataklar sonucunda atak yapılan ülkenin tüm internet altyapısının iĢlevsiz hale
getirilerek kaosa neden olunması gibi olgular, siber güvenliğin gittikçe ülke
güvenliği haline geldiğini göstermektedir.
2
Siber güvenliğin sağlanması, siber saldırıda bulunanların saldırı mantığının ve
yöntemlerinin analiz edilerek çözümlenmesini gerektirmektedir. Bu bağlamda
sistem, ağ yazılımı ve fiziksel alanların sızma testlerinin yapılarak denetlenmesi siber
güvenliğin yapıtaĢlarından birini oluĢturmaktadır.
Diğer deyiĢle ağ sistemi ve donanımlarda daha önceden varolan açıklıklar ile bu
açıklıkların kullanımı için yazılmıĢ olan istismar kodları, veri tabanlarında bulunan
açıklıklar ile web sayfalarındaki kod hatalarından ya da baĢka nedenlerden
kaynaklanan zafiyetlerin ortadan kaldırılabilmesi için periyodik olarak sızma
testlerinin yapılarak gerekli önlemlerin alınması gerekmektedir. Özellilke internet
tasarımında asıl amacın güvenlik olmaması nedeniyle birçok protokolde, sistemde ve
yazılımlarda ortaya çıkan zafiyetlerin, test edilerek tespit edilmesi ve geliĢtirilecek
olan yeni yöntemler, yamalar ve yazılımda yapılacak olan değiĢiklikler ile ortadan
kaldırılması büyük önem arzetmektedir.
Siber güvenliğin sağlanması firma, kurum, kuruluĢ ve ülkelerin ekonomik maliyet
minimizasyonu, veri stoklarının muhafazası ve prestij maksimizasyonunun da bir
gereğidir. Bu bağlamda firma, kurum, kuruluĢ ve ülkelerin en pahalı güvenlik
cihazlarını satınalmasına rağmen, personelini yeterli bilgi ve beceri ile donatmamıĢ,
siber güvenliğin önemini yeterli düzeyde kavrayamamıĢ ve uzman kiĢilere belirli
periyotlarla sızma testlerini yaptırarak açıklıkları tespit ettirip güvenlik önlemlerini
aldırmamıĢ olması, finansal kaynaklarını israf etmesi, veri stoklarını kaybetmesi ve
prestij kaybına uğraması anlamına gelmektedir. SCADA, PLC (Programmable
Logic Controllers - Programlanabilir Mantıksal Denetleyici), elektrik altyapıları,
uçak sistemleri, barajlar ve bankacılık sistemlerinin internet üzerinden yönetildiği ve
hele hele yakın bir gelecekte devletlerin siber ordularını oluĢturarak patlak
verebilecek siber savaĢlara her an hazırlıklı olacakları dikkate alındığında, firma,
kurum, kuruluĢ ve ülkelerin sızma testlerini yaptırarak, güvenlik açıklarını tespit
etmeleri, kaos senaryolarını değerlendirmeleri ve güvenlik uzmanlarından oluĢan
takımlarla bu açıklıkları kapatmaları hayati önem taĢımaktadır.
Penetrasyon testi kötü amaçlı bir saldırganın içeriden yada dıĢarıdan sistemlere
verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı
planlanmıĢ bir saldırı simülasyonudur.
3
Bu bağlamda ağ ve sistemlerin, kötü niyetli kiĢilerden korunması için beyaz Ģapkalı
hackerlar sızma testi yaparak açıklıkları bulur ve güvenlik duvarı, sistem ve yazılım
uzmanları ile bir araya gelerek bu açıklıkların kapatılmalarını sağlar. Sızma testi
yazılım, donanım ve alt yapıdaki açıklıkların önceden belirlenip rapor edilmesi
amacana yönelik olarak planlanmıĢ bir saldırı simülasyonudur. Hazır araçların,
güvenlik uzmanlarının iĢlerini büyük ölçüde kolaylaĢtırmasına karĢın; script
yazılması, istismar kodu geliĢtirilmesi de gerekli olabilmektedir. Kara kutu sızma
testlerinde hedef sistem hakkında hiçbir bilgi verilmeyerek dıĢarıdan sızma testi
yapılır. Beyaz kutu güvenlik testinde gereken bilgiler verilerek içeriden bir kiĢinin
sistemdeki açıkları kullanması sonucunda nelerin yapılabileceği görülür ve açıklıklar
kullanıcı politikaları ve Ģifre politikaları oluĢturularak yetkilendirmelerin yapılması
ile kapatılır. Gri kutu sızma testinde ise içeride olan fakat yetkileri düĢük olan bir
kullanıcının neler yapabileceğine bakılarak gerekli açıklıklar kapatılır (TSE, 2013;
BG-Tek BiliĢim Güvenlik Teknolojileri, 2013; Sans, 2009a).
Tezde biliĢim teknolojilerinin altyapılarına yönelik siber tehditlerin somut
boyutlarıyla ortaya konulması amaçlanmıĢtır. Özellikle, ülkemizde, siber güvenlik
açısından sızma testlerinin uygulanmasının ne denli önemli olduğunun anlaĢılması,
bu yolda mevcut uygulamaların yeterli olup olmadığının ortaya konması ve siber
güvenlik alanında yeni teknolojik alt yapı yatırımlarının teĢvik edilmesinin yanı sıra
kullanıcı kitlelerinde de siber güvenlik konusunda bilinç oluĢturulması ve kamu ve
özel kuruluĢların her türünde kalifiye siber güvenlik elemanlarının istihdam edilmesi
gereğinin ortaya konması bu tezin özgün değerlerini oluĢturmaktadır.
Yöntem olarak daha önce sızma testleriyle sınanmamıĢ bir sistem üzerinde sızma
testleri yapılarak güvenlik riskleri ve alınması gereken önlemler ortaya konmuĢtur.
Bu bağlamda web uygulamaları ve ağ simülasyonları, gerçek cihazlarla kurulan yapı
üzerinde test edilmiĢtir. Yapılan testler sonucu bulunan açıklıklar ve ataklar
yorumlanarak, bu açıklıklar ve ataklar için güvenlik önerileri geliĢtirilmiĢtir.
4
2. KAYNAK ÖZETLERĠ
Rowe ve Gallaher (2006), ―Private Sector Cyber Security Investment Strategies: An
Empirical Analysis‖ isimli çalıĢmasında siber güvenlik yatırımlarının optimalitesinin
siber güvenlik yatırımlarının etkinliğine bağlı olduğunu belirterek, siber güvenlik
teknolojilerinin yeterliliği ile sistem üzerinden sunulan ürün ve hizmetlerin
güvenliğini, siber güvenliğin performans kriterleri olarak ele almakta; ancak bu
konuda sayısal performans ve değerleme ölçütlerinin geliĢtirilmediğini ifade ederek;
Ģirketlerin siber güvenlik ihtiyacının önemli olmasına karĢın, pek çoğunun bu konuya
diğer yatırımlara nazaran daha az önem verdiklerini ifade etmektedirler.
Literatürde yer alan bir diğer çalıĢmada, biliĢim sistemleri üzerinde iĢlenen, üretilen,
saklanan ve iletilen bilginin güvenliğinin öneminin arttığına vurguda bulunularak,
bilgi güvenliğinin sağlanmasında, gizlilik, veri bütünlüğü ve süreklilik kavramları
gibi temel güvenlik prensiplerinin iyi anlaĢılması, bu bağlamda yönetsel önlemler,
teknolojik uygulamalar ve eğitim süreçlerini içeren güvenlik politikalarının
oluĢturularak, alınan sistemlerin iç ve dıĢ güvenlik denetimleriyle sürekli izlenmesi
önerilmektedir. Özellikle kurumsal biliĢim güvenliğinin çok bileĢenli ve yönetimi zor
bir süreç olduğu belirtilerek, olası saldırıların yaratacağı tahribat nedeniyle önem
verilmesi gereken bir alan olduğu belirtilmektedir (Pro-G BiliĢim Güvenliği ve
AraĢtırma Ltd., 2003).
Hoffman vd. (2005), kritik alt yapıların gittikçe sistemleri birbirine bağlayan
internete ve enformasyon sistemlerine daha bağımlı hale geldiğini, gerçek bir
dünyanın yeniden kuruluĢunda siber güvenlik alanında rekabetin gittikçe
yoğunlaĢtığını, bu nedenle kurumların bu alanda yapısal ve finansal yatırımlarını
gözden geçirmeleri gerektiğini ifade ederek, üniversitelerdeki eğitimde halen
konseptleri tanımlanarak teori haline getirilememiĢ enformasyon savaĢları karĢısında
söz konusu sistemlerin korunması ve devam ettirilmesinde eğitimin önemine vurgu
yapmaktadırlar.
Conklin ve White (2006), ülke vatandaĢlarının zamanında ve daha düĢük maliyetle
hizmet taleplerine iliĢkin e-devlet iĢlemlerinin gittikçe artmakta olduğunu; e-devlet
iĢlemlerinin kapsam ve etki alanının tüm toplumsal bir sistemi içerdiğini; özellikle
5
geçmiĢ uygulamaların ulusal güvenlik ve doğal afetler konusunda gerekli tedbirlerin
alınmasına iliĢkin hazırlıklı olma çabalarının ağır basmakta olduğunu; bu bağlamda,
e-devletlerin siber güvenlik açısından sorunlar yaĢadığının gözlemlendiğini ve bu
nedenle daha iyi çözümlerin geliĢtirilerek uygulanması yolunda yatırımlar
yapmalarının beklendiğini ifade etmektedirler.
Yayla (2013), ―Hukuki Bir Terim Olarak ―Siber SavaĢ‖ ―Cyber War‖ As A Legal
Term‖ adlı makalesinde yakın geleceğin en büyük sorunlarından bir tanesinin siber
savaĢ olduğuna vurguda bulunmaktadır.
Karaarslan vd. (2013), ―Bilgisayar Ağlarında Güvenlik Politikalarının Uygulanması‖
konulu sunumlarında, eriĢim listelerinin belirlenmesi, kullanıcı haklarının
tanımlanması, eriĢim güvenlik duvarı, internet Ģifre ve sosyal mühendislik
konularında ağ güvenlik politikalarının çok detaylı Ģekilde oluĢturularak uygulamaya
konulması gereğine vurgu yapmıĢlardır.
Vural ve Sağıroğlu (2008), ―Kurumsal Bilgi Güvenliği Ve Standartları Üzerine Bir
Ġnceleme‖ adlı makalelerinde, kurumsal bilgi güvenliğinin yüksek seviyede
sağlanmasına iliĢkin olarak literatürde yeterince kapsamlı ve güncel bir çalıĢmanın
bulunmadığının, yapılan çalıĢmaların da çoğunlukla ticari içerikli veya güvenilir
olmayan web sitelerinde yer alan yetersiz çalıĢmalar olduğunun ve sadece nasıl
korunulması gerektine iliĢkin kısa bilgilere yer verildiğinin tespit edilmiĢ olduğunu
ifade ederek; kurumsal bilgi güvenliği farkındalağının arttırılması için tavsiyelerde
bulunmaktadırlar. Ayrıca anılan makalede dünyada yapılan kimlik hırsızlığı ve
oltalama ataklarına dikkat çekilerek, kullanıcı kitlelerinde oluĢturulması gereken
bilincin önemine iĢaret edilmekte; Netcraft ve Gartner‘ın raporlarından yola çıkılarak
kurumların güvenlik altyapısına gerekli yatırımların yapılmadığı ifade edilmektedir.
Diğer yandan, makalede bilgi güvenliğinin sürekli olarak geliĢen bir süreç olduğuna
vurgu yapılarak, 27001 standartları ile risklerin nasıl azaltılacağına yer verilmekte ve
ortaya çıkabilecek açıklıkların meydana getirebileceği zararlar kapsamında ―SQL
Injection‖, ―komut yürütme‖, ―yetkilendirme hatası‖ açıklıkları ile XSS (Cross Site
Scripting - Çapraz Site Betik Saldırısı) açıklıkları ele alınmaktadır.
6
3. MATERYAL VE YÖNTEM
Bu çalıĢmada, önceden dizayn edilmiĢ ağ yapıları üzerinde, linux iĢletim
sistemindeki saldırı araçları kullanılarak sunucu ve ağ yapılarına saldırılar yapılarak
bilenen açıklıklar istismar edilmiĢ ve zafiyetlerin kapatılması için öneriler
geliĢtirilmiĢtir.
3.1. BiliĢim Güvenliği
BiliĢim güvenliği, bilgisayar ağları ve sistemleri üzerinde, sürekli eriĢilebilen bilginin
göndericisinden alıcısına kadar gizlilik içerisinde, baĢkaları tarafından izinsiz veya
yetkisiz bir biçimde eriĢilmeden, kullanılmadan, değiĢtirilmeden, ifĢa edilmeden,
ortadan kaldırılmadan, el değiĢtirmeden ve hasar verilmeden güvenli bir Ģekilde
iletilmesi anlamına gelmektedir (Vural ve Sağıroğlu , 2008; BiliĢim Güvenliği, 2003,
Pro-G BiliĢim Güvenliği ve AraĢtırma Ltd., 2003; ġen ve Yerlikaya, T., 2013).
3.1.1. BiliĢim güvenliğinin tarihçesi
BiliĢim sistemlerine ve bu sistemler tarafından iĢlenen verilere yönelik güvenlik
ihlallerinin tarihi 1970‘li yılların baĢına kadar götürülebilir. BiliĢim güvenliğini
tehlikeye sokan olgu bilgisayar ağları ve sistemleri üzerinden izinsiz olarak gelen
virüslerdir. Ġlk olarak 1970‘lı yılların baĢında, internetin atası olan ARPANET
(Advanced Research Projects Agency Network - GeliĢmiĢ AraĢtırma Projeleri
Dairesi Ağı) üzerinde TENEX iĢletim sistemi yoluyla yayılan ve bilgisayara bağlı
modemi diğer bilgisayarlara bağlayarak, onları enfekte etmekte kullanılan Creeper
virüsü tespit edilmiĢtir. Daha sonra 1982‘de Apple II‘nin iĢletim sistemine enfekte
olarak yayılan elk cloner isimli bilgisayar virüsü yazılmıĢtır. 1988 yılında unix
sendmail, finger, rsh/rexec içindeki bilinen açıklıkları ve zayıf parolaları kullanarak
yayılan Morris solucanı ya da internet solucanı ilk defa internet‘e bırakılmıĢ ve tüm
internetin yüzde onuna, yani 6000 unix makinaya bulaĢmıĢtır. Bu nedenle internet‘te
meydana gelen güvenlik olaylarına müdahale etmek amacıyla CERT Koordinasyon
Merkezi (Computer Emergency Response Team Coordination Center) kurulmuĢtur
(Üneri, 2013; Wikipedia The Free Encyclopedia, 2013a).
7
26 Mart 1999 tarihinde ortaya çıkan ve anti virüs programlarını atlatarak windows
9x, NT iĢletim sistemleri altında Word 97 ve Word 2000 programlarını kullanarak
bilgisayarlara zarar veren Melissa virüsü, internete gönderilerek e-postayla yayılarak
milyonlarca dolar zarar yol açmıĢtır. Virüs her bulaĢtığı bilgisayardan 50 yeni
bilgisayara bulaĢma özelliğine sahip olduğundan çok hızlı Ģekilde yayılmıĢtır.
Omega Mühendislik Ģirketinde çalıĢan ve ―Ģef bilgisayar ağı program tasarımcısı‖
olan Timothy Allen Lloyd‘un 1996 yılında Ģirket ile iliĢiğinin kesilmesi üzerine
tasarımladığı ―zaman bombası‖ yardımı ile Omega‘nın tüm karmaĢık üretim
yazılımlarını silerek 10 milyon dolarlık bir kayba yol açmıĢtır (Pro-G BiliĢim
Güvenliği ve AraĢtırma Ltd., 2003).
Estonya‘da 2007‘de yapılan siber saldırılar sonucu internet durma noktasına
gelmiĢtir. Virüslerin kodlayıcılar ile Ģifrelenmesi, normal güvenlik duvarı
cihazlarının tünelleme ile geçilebilmesi, yazılan uygulamalardaki zafiyetlerin sürekli
artması ileride oluĢabilecek tehditlerin habercisidir. Günümüzde ise iyi bilinen
açıklıklar üzerinden yazılmıĢ istismar kod ve araçlarıyla dahi sistemlere çok büyük
zararlar verilebilmektedir. Virus, solucan, turuva, zaman bombası, aldatma, tarama,
dinleme, tünelleme, DOS (Denial-of-Service - Servis DıĢı Bırakma Saldırısı), DDOS
(Distributed Denial-of-Service - Dağıtık Servis DıĢı Bırakma Saldırısı), donanım
hataları, yazılım hataları ve kullanım hataları gibi gittikçe çeĢitlenen ve yoğunlaĢan
tehditler ve riskler, günümüzde, bilgi güvenliğinin gittikçe daha önemli hale
gelmesine neden olmaktadır. Keza sapphire solucanının, internet üzerinde açıklığa
sahip olan bilgisayarların %90‘ına 10 dakika içinde bulaĢabilmesi biliĢim
güvenliğinin ne denli önemli olduğunu ortaya koymaktadır. Ayrıca sistem üzerinden
gerçekleĢtirilen elektronik sahtecilik ve dolandırıcılık gibi nedenlerle, bilgi güvenliği
sadece bilgi teknolojilerini ilgilendiren bir konu olmaktan çıkmıĢtır (Üneri, 2013).
2010 yılı ve daha öncesi siber saldırılarda genellikle DOS saldırıları, spam mail
yollama, web sitesi içeriği değiĢtirme ve yönlendirmeye yönelik tehditler kullanılırdı.
Ancak daha sonra daha ileri zararlı yazılımlar ortaya çıktı. Bunların ilki Amerikan
NSA ve Ġsrail UNIT8200 adlı istihbarat kurumları tarafından hazırlanan ve 2010
yılında yaklaĢık 1000 santrifüjü hedef alarak, donanımlarını çalıĢılamaz hale getiren
Stuxnet virüsüdür (Emre, 2013; Urgun, 2010).
8
Stuxnet, su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi
tesislerinin kontrolü için kullanılan SCADA sistemlerinin ele geçirilip fiziksel
kontrol sistemlerinin çalıĢmasını değiĢtirmeyi hedef alan, bulaĢtığı bilgisayarda
SCADA sistemi mevcutsa ilk önce mevcut projelerin kod ve dizaynlarını çalmaya
çalıĢan ve programlama yazılım ara yüzü vasıtasıyla PLC'lere kendi kodlarını
yükleyen ve saklamayı bilen ilk Rootkit unvanına sahiptir (Pamuk. 2010).
Stuxnet‘ten bir yıl sonra keĢfedilen Duqu adı verilen ve Stuxnet‘in daha etkin
çalıĢması sağlan yeni bir zararlı yazılım keĢfedildi. Daha sonra siber ortamda bilgi
toplarken kendisini devamlı güncelleyen ve anti virüs tarayıcıları tarafından
senelerce tespit edilememiĢ olan Flame adlı en büyük en karmaĢık siber casusluk
yazılımı ortaya çıkmıĢtır. Daha sonra 2012 yılında finansal bilgileri hedef alan yeni
bir siber araç keĢfedildi. Bu zararlı yazılımın adı da Gauss‘tu (Emre, 2013).
Yukarıdaki geliĢmelerden de anlaĢılacağı üzere, günümüzde siber tehditlerin boyutu
gittikçe daha korkunç bir hal almaktadır. Bu nedenle ülkeler siber güvenlik
stratejilerini ve kurumlarını oluĢturmaktadır (Emre, 2013).
Bilgi güvenliğinin sağlanması belirli standartları gerektirmektedir. Bu nedenle
1990‘lı yılların ortasında bilgi güvenliği standartları ortaya çıkmıĢtır. BSI (Ġngiliz
Standartlar Enstitüsü) tarafından belirlenen standartlar BS7799 standartları olarak
formüle edilmiĢtir. Uluslararası Standartlar Komitesi‘nin belirlemiĢ olduğu ISO
27001 ve ISO 27002 standartları da güvenlik açısından uygulanması gereken önemli
standartları oluĢturmaktadır (Eurocert, 2013).
3.1.2. BiliĢim güvenliğinin bileĢenleri
Gizlilik, bütünlük, eriĢilebilirlik, doğrulama, yetkilendirme ve hesap biliĢim
güvenliğinin temel bileĢenlerini oluĢturur (Watkins ve Wallace, 2008).
Gizlilik (confidentially): Bilginin üçüncü Ģahıslar tarafından ağ dinleme gibi
yöntemlerle ele geçirilmesinin engellenmesi için Ģifrelenmesi ve yetkisiz kiĢilerin de
anlamaması için yapılması gereken bir uygulamadır.
9
Bütünlük (integrity): Bilginin aktarımı sırasında herhangi bir değiĢikliğe
uğramasının engellenmesi bilginin bütünlüğü sağlar. Parity bitleri ile yapılan
kontroller bu bileĢenin örnek uygulaması olarak verilebilir.
EriĢilebilirlik (availability): Sistemin sürekli eriĢilebilir olmasını esas alır. Hizmet
veremeyen sistemler maddi kayıplar ile müĢteri kayıplarına neden olabilirler. Bu
bağlamda eriĢilebilirlik çok önemlidir.
Doğrulama (authentication): Kullanıcının kim olduğu sorgulanır. ġifre ve kullanıcı
isim tanımlanması gerekmektedir.
Yetkilendirme (authorization): Kullanıcılara yetkilerin atanması ve hangi
kullanıcının ne kadar yetkili olduğunun belirlenmesi iĢleminin yapılmasıdır.
Hesap (account): Hangi kullanıcı neler yapmıĢ? loglama örnek olarak verilebilir.
3.1.3. BiliĢim güvenliğinin terimleri
Hacker: Sistemlere sızabilme yeteneğine sahip, programlama bilgisi üst düzeyde
olan ağ ve sistemlerin iĢleyiĢini iyi bilen, gerektiğinde sosyal mühendislik yapabilen,
hacking araçlarını tanıyan ve bunları gerektiği zaman geliĢtirebilen kiĢiler ―hacker‖
olarak ifade edilmektedirler. Hackerlar kendi aralarında beyaz Ģapkalı, siyah Ģapkalı
ve gri Ģapkalı olarak ayrılmaktadırlar. Beyaz Ģapkalı hackerlar güvenlik uzmanı
olarak çalıĢan ve bilgilerini iyi yönde kullanan kiĢilerdir. Siyah Ģapkalı hackerlar ise
bilgileri çalma ve bilgilerini zarar verme yolunda kullanan kiĢilerdir. Gri Ģapkalı
hackerlar ise zaman zaman beyaz Ģapkalı zaman zaman siyah Ģapkalı hackerlar gibi
davranan kiĢilerdir. Bunların dıĢında birde ―Lamer‖lar vardır; onlar da baĢkalarının
yazdığı betik kodları çalıĢtırarak ağ, sistem, yazılım, programlama gibi konularda
herhangi bir bilgiye sahip olmadan atak yapmaya çalıĢan kiĢileri ifade eder (Watkins
ve Wallace, 2008).
Açık (vulnerabılıty): Ġnternet protokollerinin, uygulama yazılımlarının ve sunucu
sistemlerinin üzerinde bulunan, saldırı yapan kiĢilerin zararlı kodlarını
çalıĢtırabilmesi için sistemde bulunan zafiyetlere, açık denir (Sans, 2009a).
Tehdit: Siyasi amaçlı kurulmuĢ ―hack‖ örgütleri, yabancı istihbarat örgütleri, iĢ
yerinde çalıĢan ve sistemlere atak yapabilen uyumsuz personeller, bilgi çalan iç ve
dıĢ kaynaklı hareketler ile virüsler, truva atları ve solucanlar tehdit olarak
algılanmalıdır (Sans, 2009a).
10
Risk: Sistemlerdeki zafiyetler ile tehditlerin kesiĢtiği nokta risk olarak algılanabilir
(Sans, 2009a).
Ġstismar kodu (exploıt): Zafiyetlerin kullanılarak sömürülebilmesi ya da açıklıkların
kullanılarak uzak makinaya eriĢim kazanılması, servis dıĢı bırakılması, bilgi
sızdırılması gibi amaçlar doğrultusunda yazılmıĢ kodlara istismar kodu (exploit) adı
verilmektedir (Sans, 2009a).
Sunucu taraflı istismar kodları (server side exploits): Sunucuların üzerinde
çalıĢan servislerin, üzerinde bulunan zafiyetlerden yararlanılarak eriĢim sağlanması
için kullanılan kodlara verilen isimdir. Örneğin 445 TCP portundan dinleme
modundaki makianaya zararlı kodların bu port üzerinden gönderilmesi ile yapılan
atakta kullanılan kodlar sunucu taraflı istismar kodlarına örnek olarak verilebilirler.
KarĢı taraftaki kullanıcının herhangi bir uygulama kod ya da programı çalıĢtırmasına
gerek kalmadan direkt sunucuyla veya sunucu üzerinde çalıĢan uygulamanın
açıklığından bu kodlar sayesinde yararlanılmasıyla iletiĢime geçilmektedir (Sans,
2009a).
Son Kullanıcı Taraflı Ġstismar Kodları (Client Side Exploits): Adobe, Microsoft
Word, media player, java, internet explorer, firefox gibi uygulamaların üzerlerinde
bulunan açıklıklar sayesinde uyglamaların içerisine zararlı kodların yerleĢtirilerek
son kullanıcılara dağıtılması, son kullanıcıların uygulamayı yada programı açmasıyla
birlikte atak yapan kiĢinin dinlemede olduğu bağlantı noktasına bağlanması ile
yapılan atakta kullanılan kodlara verilen son kullanıcı taraflı istismar kodlarıdır
(Sans, 2009a).
Yetki Yükseltme Ġstismar Kodları (Local Privilige Escalation Exploits): Uzak
makianaya eriĢim sağlandığında, normal kullanıcı yetkisiyle eriĢim sağlanmıĢ ise
yetki yükseltmek için kullanılan kodlara verilen, yerel yetki yükseltme istismar
kodudur. Windows tarafında ―lsass.exe‖, ―csrss.exe‖, ―winlogon.exe‖ servislerine
atak yapmak için yazılan istismar kodları bu türe örnek olarak verilebilirler. Çünkü
bu servisler yüksek yönetici haklarına sahiptir. Yüksek haklara sahip bir servis yada
programın altında çalıĢan servis yada programlar da bu haklara sahip olurlar. Linux
sistemlerde user-ID numarası 0 olan suid bitlere sahip programlara dikkat etmek
gerekir (Sans, 2009a).
Metasploit: Bugüne kadar yazılmıĢ istismar kodlarının bulunduğu açık kaynaklı
çatıdır (Kennedy, 2011). Sürekli güncellenmesi gerekmektedir. Sürekli yeni istismar
11
kodları çıktığı için metasploit de güncellenmektedir. ―http://exploit.db‖ sitesinden
yeni çıkan zafiyet ve ―exploit‖lar görülebilir.
Payload: Hedef makinaya eriĢim kazanıldıktan sonra atak yapan kiĢinin hedef
makinada istediği olayları gerçekleĢtirebilmesi için yüklediği kod dizisidir. Bu kodlar
atak yapan kiĢinin adeta ajanı gibi çalıĢır. Ekran görüntüsü alır, uzak terminal
bağlantısı sağlar, webcam açar, keylogger özelliği taĢır (Kennedy, 2011).
Yardımcı araç (auxilary): Sisteme sızılırken port tarama ve boĢ Ģifreli hesapları
bulma gibi iĢlemlerde kullanılan yardımcı araçlardır.
Kodlayıcı (encoder): Antivirus ve IDS (Intrusion Detection System - Sızmayı
Belirleyen Sistem) gibi sistemleri atlatabilmek için payload‘ın Ģifrelenmesini sağlar.
Öte yandan iĢletim sistemi, protokoller ve programlarda, programları yazan kiĢilerin,
iĢletim sistemini yazanların, antivirüs programlarının, yani kısaca, kimsenin
bilmediği açıklıkların bulunması ile elde edilen açıklıklara 0. gün açıklıkları denir.
Dolayısıyla sistemler ne kadar güncel olursa olsun güvenlik önlemleri ne kadar
alınırsa alınsın yüzde yüz güvenlik sağlanamaz. Alınabilecek tüm güvenlik önlemleri
alındıktan sonra oluĢabilecek negatif olaylar da risk olarak adlandırılır (Kennedy,
2011).
3.1.4. Temel Ağ Terimleri
Ağ, bilgisyarların, dosya paylaĢımı, uzaktan yönetim ve printer paylaĢımı gibi
amaçların gerçekleĢtirilmesi için biraraya getirilmesiyle oluĢturulan Ģebekesel yapıya
verilen addır. Ağı oluĢturan makinaların ortak bir standart içerisinde kusursuz
çalıĢması, arızalarının daha hızlı çözülmesi ve sanayide üretimin starndartlaĢmasını
sağlamaya yönelik olarak OSI (Open System Interconnection - Açık Sistem
Bağlantı) katmanları oluĢturulmuĢtur. Fiziksel katman, yani 1. katman dijital
sinyalin taĢınmasından sorumlu katmandır. Cat5 ve Cat6 kabloları ile fiber kablolar
hep bu katmanda 1 ve 0‘ları taĢımak için kullanılırlar. Data link katmanı, yani 2.
katman ağ içi iletiĢimden sorumludur. Bu katman, iletiĢimi, eĢsiz MAC (Media
Access Control - Medya EriĢim Kontrol) adreslerini kullanarak, switch üzerinde
bulunan ve içeriğinde hangi portta hangi MAC adresinin bulunduğunu gösteren,
adres içerik tablosunu kullanarak sağlar. Switchler ağ içi iletiĢimi sağlayan
cihazlardır. Ağ katmanı, yani 3. katmanda IP ve ARP (Adress Resolotion Protokol -
Adres Çözümleme Protokolü) çalıĢır. IP ve ARP adresinden MAC adresi
12
çözümlemeye yarayan protokoldür. Paket filtreleme, paket anahtarlama, en kısa yol
seçimi, yönlendiriciler (router) tarafından routing tablosuna bakılarak, bu katmanda
yapılırlar. Transport, yani nakil katmanında ise bağlantı noktaları (portlar) görev
yapar. TCP (Transmission Control Protokol - Ġletim Kontrol Protokolü) ve UDP
(User Datagram Protocol - Kullanıcı Veri Bloğu ĠletiĢim Protokolü) bu katmanda
uçtan uca eriĢimi sağlamak için kullanılır. Oturum katmanında, yani 5. katmanda
farklı bilgisayarlardaki kullanıcılar arasında oturumların kurulması sağlanır. Bu iĢlem
oturumların kurulmasını, yönetilmesini ve bitirilmesini sağlar. NetBios (Network
Basic Input/Output System – Network Temel Girdi/Çıktı Sistemi), Sockets, RPC
(Remote Procedure Call - Uzaktan Arama Prosedürü), NFS (Network File System -
Ağ Dosya Sistemi) ve SQL (Struct Query Language - Yapısal Sorgulama Dili) gibi
protokoller bu katmanda çalıĢır. Sunum katmanı, yani 6. katmanda ise ASCII kodları
jpeg formatları çalıĢır. 7. katman ise uygulama katmanıdır; bu katmanda kullanıcı
tarafındaki uygulamalar çalıĢır. HTTP (Hyper Text Transfer Protocol - Hiper Metin
Aktarım Protokolü) (80.port tcp), FTP (File Transfer Protocol - Dosya Transfer
Protokol) (20,21. port tcp), tftp (69.port udp), SNMP (Simple Network Menagemant
Protocol - Basit Ağ Yönetim Protokolü) (161.port udp), DNS (Domain Name System
- Ġsim Çözümleyici Sistem) (53. port udp), pop3 (110.port tcp), SMTP (Simple Mail
Transfer Protokol - Basit Mail Transfer Protokolü) (25.port tcp), SSH (Secure Shell
- Güvenli Kabuk Bağlantısı) (22.port tcp), HTTPS (Hyper Text Transfer Protocol
Secure - Güvenli Hiper Metin Aktarım Protokolü) (443.port tcp) bu katmanda çalıĢan
protokollere örnek olarak verilebilir. AĢağıda ġekil 3.1 de bir açık sistem bağlantı
modeli görülmektedir.
13
ġekil 3.1. Ağ Katmanları (http://media.techtarget.com, 2011)
3.1.5. Sistemlerde kullanılan sunucular
Sitemlerde kullanılan sunucular aĢağıdaki gibi sıralanarak, kısaca açıklanabilir.
DNS sunucu: Ġsimden IP, IP adresinden isim çözümleyen sistemdir. UDP 53. portu
kullanır.
Web sunucu: Html php asp ve benzeri programlar ile yazılmıĢ web sayfalarını
üzerinde bulunduran sunucu olup; TCP 80. portu kullanır.
FTP sunucu: Dosya paylaĢımını sağlayan sunuculardır. TCP 20. ve TCP 21. portları
kullanırlar.
Mail sunucu: Mail hizmeti sunan sunuculardır.
SQL sunucu: Veri tabanlarının bulunduğu sunucudur.
14
DHCP sunucu: Otomatik IP dağıtmaya yarayan sistem olup; UDP 67 ve UDP 68.
portları kullanır.
SNMP sunucu: Ağ bilgi protokolü SNMP protokolüdür. ÇalıĢan cihazlar hakkında
merkezi bir sunucudan bilgi alınabilmesi için kullanılan sunucudur. Örneğin sıcaklık
bilgisi gibi UDP 161. portu kullanır.
L4 güvenlik duvarı: Port ve IP bazında eriĢim kontrolü yapabilen cihazlardır.
Üzerlerinde yazılmıĢ eriĢim listeleri ile hangi IP adresinden hangi portun
eriĢebileceği, hangi portlardan hangi uygulamaların verilebileceği gibi
yapılandırmaların uygulamalarını sağlar. Tek baĢına çok yetersizdir.
IPS (Intrusion Prevention Systems - Sızmayı Engelleyici Sistem): 7. Katmanda
denetleme yaparak üzerindeki imzalardan yararlanarak zararlı trafiği durduran
cihazdır.
IDS: Üzerindeki imzalar ile zararlı trafiği kayıt altına alan cihazdır.
DLP (Data Leakage Prevention System - Bilgi Sızmasını Engelleyici Sistem):
Bilgi sızdırılmasını engelleyici sistemlerdir.
WAF (Web Application Firewall - Web Güvenlik Duvarı): Web tarafında
yapılacak SQL injection XSS gibi atakları kesen cihaz.
NAC (Network Admission Control - Ağ GiriĢ Kontrol): Ġçerideki makinaların
update seviyesini kontrol eden kullanıcıları doğrulayan cihazdır. AĢağıda Ģekil 3.2 de
standart ağ cihazları ile dizayn edilmiĢ örnek bir ağ yapısı görülmektedir.
ġekil 3.2. Örnek ağ yapısı
15
3.2. BiliĢim Sistemlerinde Sızma Ve Ataklar
Ġster sızma testini yapacak kiĢi için isterse kötü niyetli bir saldırgan için sistemdeki
açıklıkların bulunması, bu açıklıkların kullanılması ile sisteme sızılması aynı adımlar
ile gerçekleĢtirilir. Buradaki tek fark kötü niyetli kiĢilerin sistemlere zarar vermesi
yada bilgi çalması, güvenlik uzmanlarının ise açıkları kapatmasıdır. Sistemi ele
geçirmek için izlenilen adımlar aynısıdır. Bunlar aĢağıdaki adımlardan oluĢmaktadır.
Adım 1, Ġnternet üzerinden, arama motorlarından, mail gruplarından, DNS ve Whois
kayıtlarından ve Google map‘den bilgi toplanması.
Adım 2, Port taratmak, banner yakalamak, versiyon belirlemek, çalıĢan servislerin
bulunması, kullanılan yazılımın bulunması.
Adım 3, zafiyet tarama araçları ya da manuel olarak zafiyetlerin bulunması.
Adım 4, zafiyetlerin istismar edilmesi.
Adım 5, sistemin ele geçirilmesi.
Adım 6, izlerin temizlenmesi.
3.2.1. Bilgi toplama aĢaması
Bir sisteme sızılabilmesi için öncelikle sızılacak sistem hakkında bilgi toplanması
gerekmektedir. Bu bilgiler ıĢığında strateji geliĢtirilerek hedefe uygun saldırı
yöntemleri ile atak yapılmaktadır. Aktif ve pasif olarak bilgiler toplanabilmektedir.
Pasif bilgi toplama yönteminde sistemde iz brakılmadan açık servisler üzerinden
bilgi toplanılırken, aktif bilgi toplama yönteminde sistem ile birebir iletiĢime
geçilmektedir.
3.2.1.1. Ġnternetteki açık servisler üzerinden bilgi toplama
Pasif bilgi toplama yöntemi internetteki servisler üzerinden iz bırakmadan sistemle
birebir iletiĢime geçilmeden uygulanan bilgi toplama yöntemidir. Hedef sisteme
direk olarak ulaĢılmadan sistemde iz bırakmamak için internetteki açık servisler
16
kullanılır, hedefe ait IP aralıkları, DNS kayıtları, mail kayıtları, FTP kayıtları gibi
bilgilerin toplanması için kullanılan yöntemdir. Bu yöntem kullanılırken hedefle
herhangi bir iletiĢime geçilmeyeceği için iz bırakılmaz. Whois sorguları ile hedef
sistemin alanının hangi firmadan alındığı, alan ismini alan kiĢinin email adres bilgisi,
fiziksel adres bilgileri, telefon numarası gibi hedef sisteme ait özel bilgileri elde
edilebilir. Whois sorgulamaları ―http://whois.domaintools.com‖ gibi bir siteden
yapılabilir. Bunun gibi birçok site mevcuttur. Whois sorgularında bilgilerin
görüntülenmesinin kısıtlanması için proxy hizmeti alınmalıdır. Proxy hizmeti
alındığında Whois sorgusu yapan kiĢi sadece proxy hizmeti veren firmanın kayıt
bilgilerini görebilecektir. IP adreslerinin bloklarını sorgulamak için
―http://www.ripe.net‖ adresi kullanılabilmekte ve ―http://www.centralops.net‖ adresi
üzerinden hedef sisteme ait çok detaylı bilgiler alınabilmektedir. www.pipl.com
insanları aratabilmek için kullanılır. Netcraft sitesi pasif bilgi toplama araçlarından
birisidir. Buradan web sunucusu ve sisteme ait iĢletim sistemleri hakkında bilgiler
alınabilir. Bing arama motoruna IP yazarak domain keĢfi yapılabilir yada google
arama motorunda ―websitesiismi -websiteismi‖ yazılarak sitenin alt alanları
bulunabilir. Örneğin, ―www.örneksite.com –örneksite.com‖ gibi. AraĢtırılan kiĢilerin
üye olduğu sitelerden mail adresleri tespit edilebilir yada herhangi bir gruba mail
atılarak Sniffer çıktılarının yorumlanması ile bilgi toplanılabilir. Shodan arama
motorundan port ve servis taramaları yapılabilmektedir. Bu siteye
―www.shodanq.com‖ adresinden eriĢilebilir. Google üzerinden de Tablo 3.1 de
gösterilen anahtar kelimelerin kullanılmasıyla pasif aramalar yapılabilmektedir
(Demirez, 2011).
Tablo 3.1. Google anahtar arama kelimeleri (EC-Council)
mysql dump filetype:sql
Yedeği alınarak unutulmuĢ ve eriĢimi olan
veritabanlarını arar.
email password
site:****.com Yazılan adresin giriĢ sayfasını getirir.
intitle:index.of passwd BaĢlık kısmında passwd içeren sayfaları getirir.
inurl:/etc/passwd site:com
com uzantılı domainlerde URL (Uniform Resource
Locator - Tekdüzen Kaynak Bulucu) içerisinde
/etc/passwd olan sayfaları arar.
allinurl: kalem kağıt defter
Burada 3 kelimeninde (kalem kaıt defter) birlikte
içerisinde bulunduğu URL‘leri arar.
site: Site bazlı arama yapar. Etki alanına göre arama yapılır.
17
Tablo 3.1. Google anahtar arama kelimeleri (EC-Council) (devam)
filetype:
XLS, PDF, PPT gibi dosya uzantılarını kullanarak
arama yapılmasına olanak verir.
inanchor: Bağlantıların içerisindeki aramaları yapar
inurl URL içerisindeki aramaları yapar
intitle: Title içerisindeki aramaları yapar
link: Aranılan kelime ile alakalı verilen linkleri gösterir.
site:****.***intitle:index.o
f .bash.history
Verilen sitedeki index içerisinde. bash. history
dosyasını arar.
intitle:index.of robots.txt
disallow filetype:txt "robots" dosyalarını arar.
intitle:"Nessus Scan
Report" "This file was
generated by nessus" Nessus raporlarını arar.
3.2.1.2. DNS protokolü aracılığı ile bilgi toplanması
Domain Name System (DNS) isimleri IP, IP‘leri de isimlere çevirmeye yarar. DNS
üzerinde birtakım kayıtlar tutulur. Linux makinalarda DNS ile ilgili kayıtlar
/etc/resolv.conf, /etc/hosts gibi dosyalar içerisinde tutulurken, Windows makinalarda
ise c:\windows\system32\drivers\etc\hosts gibi dosyalar içerisinde tutulur. Anılan
kayıt türleri aĢağıda Tablo 1.2‘de görülmektedir. Zone transfer yapılarak, DNS
üzerinden bilgi toplanılabilir.
Tablo 3.2. DNS kayıt türleri (Northrup ve Mackin, 2011)
A Ġsimden IP adresine dönüĢüm kayıtları
Ptr IP adresinden isime dönüĢüm kaydı
Mx Mail sunucu kayıtları
Ns DNS kayıtları
Txt DNS hakkında bilgi verir
3.2.1.3. Bilgi toplamak için kullanılan araçlar
Fierce aracı, zone transfer yapmak için kullanılabilir ve hedefteki kayıtları transfer
edebilir. DNS konfigurasyonu yapılırken zone transferi için sadece belirli IP
adreslerine izin verilmelidir. Aksi takdirde, dns hakkında pek çok bilgi eriĢilebilir
durumda olacaktır. Bu hal ise arzulanan bir durum değildir. Theharvester, mail
listesi, IP aralıkları, mail sunucu ve DNS sunucu adreslerini bulabilmek için
18
kullanılbilen bir araçtır. Bir etki alanı adına ait email listelerini google ve bing gibi
arama motorları yardımı ile toplamak için bu araç kullanılabilir.
3.2.1.4. SNMP üzerinden bilgi alınması
SNMP basit ağ yönetim protokolüdür. Ağdaki cihazların üzerlerindeki ısı yada
herhangi bir değiĢiklik hakkında bilgilerin yollanması ve benzeri yönetimsel bilgi
akıĢını sağlar. SNMP V1 ve SNMP V2 açık halde bilgi iletimi olduğundan güvenli
değildir. SNMP V3 ise Ģifrelemeyi desteklediği için güvenlidir. SNMP enum gibi
araçlar kullanılarak SNMP bilgileri toplanılabilir.
3.2.1.5. Mail listelerini toplama
Otomatize edilmiĢ araçlar ile google ve bing gibi araçlardan yararlanılarak kiĢisel
bilgiler ve mailler toplanabilmektedir. Facebook, Twitter, Linkedin, Pipl insanlara
iliĢkin bilgi toplamak için kullanılabilecek önemli kaynaklardır. Toplanılan bilgiler
eĢliğinde çeĢitli ataklar yapılabilir. Sahte mail siteleri üzerinden sosyal mühendislik
saldırıları yapılabilir. Metasploit ile entegre edilerek son kullanıcılar için çok
tehlikeli saldırılar gerçekleĢtirilebilmektedir. PDF dosyalarının içerisine gömülen
Meterpreter gibi yazılımlar güvenlik duvarı arkasında tünel açmakla kalmayıp ekran
görüntüsü alma ve keylogger özelliğide sergilemektedir.
3.2.1.6. Ağ keĢfi
Sızma testlerindeki en önemli adımlardan birisi, hedef sistemde çalıĢan sistemlerin,
açık portların, servislerin ve protokollerin belirlenmesidir. Hedefdeki portların,
iĢletim sistemlerinin belirlenmesinde Nmap kullanılabilir. 65.535 portun ilk 1.024
portu iyi bilinen portlar olarak servisler tarafından satın alınmıĢtır. Nmap 65.535
porta çeĢitli paketler yollayarak port kontrolü, iĢletim sistemi tespiti yapar.
Bağlantıya geçmek istediği makinaya belirli paketler yollar. KarĢıdan gelen
cevaplara göre program tarafından yapılan değerlendirmeler sonucu port durumları
belirlenir.
19
Nmap programı, Lyon Fyodor tarafından yazılmıĢ Matrix gibi filmlerde de
kullanılmıĢ, en iyi port tarama araçlarından bir tanesidir. Açık kaynaklı kod yazılmı
ile geliĢtirilmiĢtir. Nmap açık portları tarayarak sistem ve ağ hakkında bilgiler verir.
Nmap‘in çalıĢma prensibinin anlaĢılabilmesi için üç‗lü el sıkıĢma bayraklarının ve
mantığının anlaĢılması gerekir.
TCP bayrakları aĢağıdaki Ģekilde özetlenebilir (Sans, 2009b).
SYN (Senkronizasyon Bayrağı): Üç‘lü el sıkıĢmanın baĢlaması ve senkronizasyon
sağlanması için gönderilen pakettir.
ACK (Onay Paketi): Syn paketi alındıktan sonra paketi aldığına dair karĢıya
gönderdiği pakettir. ack paketinin sıra numarası syn paketinin sıra numarasından bir
fazladır.
RST (Yeniden Gönderme): Datanın gönderilmesi sırasında oluĢan bir sıkıntıdan
dolayı yeniden gönderilmesi için gönderilen pakettir. Port taramalarında bağlantıyı
ani olarak kesmek için kullanılır.
PSH (Push): Datanın hızlı bir Ģekide tcp katmanında daha fazla bekletilmeden
gönderilmesini belirten pakettir.
URG (Acil): Datanın acil olarak iĢlenmesini belirten pakettir.
CWR (Congestion Window Reduced): ÇarpıĢmaya bağlı olarak pencere boyutunun
küçültülmesi gerektiğini belirten paket.
ECE (Explicit Congestion Notification Echo): ÇarpıĢma olduğunu belirtir.
AĢağıda ġekil 1.3‘te, TCP bağlantısının nasıl kurulduğu görülmektedir. TCP
bağlantısının kurulması için bağlantı isteğinde bulunan bilgisayar diğerine SYN
paketi yollar. SYN paketini alan bilgisayar bu pakete SYN ve ACK paketi ile geri
döner. Son aĢamada SYN ve ACK paketini alan bilgisayar ACK paketi yollayarak
üç‘lü el sıkıĢmayı tamamlar ve TCP oturumu kurulmuĢ olur (Sans, 2009b)
.
20
ġekil 3.3. Üç‘lü el sıkıĢma
TCP oturumları aĢağıda ġekil 1.4‘te görüldüğü üzere, iki Ģekilde
sonlandırılabilmektedir. Bunlardan birincisinde oturumu sonlandırmak isteyen
makina RST paketi yollayarak iletiĢimi ani bir Ģekilde sonlandırır. Ġkinci yöntemde
ise iletiĢimi sonlandırmak isteyen makina karĢı tarafa fin ve ack paketleri yollar.
Paketleri alan karĢı taraftaki makina ack paketi yollar. ACK paketini yolladıktan
sonra FIN ve ACK paketlerini iletiĢim sonlandırmak isteyen makinaya yollar.
ĠletiĢimi sonlandırmak isteyen makinada ACK paketini yollar ve oturum kapanır.
ġekil 3.4. Portların KapanıĢı
21
Port tarama türleri ve açıklamaları (Fiarcloth, 2011; Sans, 2009b) kısaca aĢağıdaki
gibi özetlenebilir.
SYN tarama (-sS) : Hedef porta SYN paketi yollanır. Eğer port açık ise SYN+ACK
paketi döner. Bu durumda tarama yapan kiĢi üç‘lü el sıkıĢmayı tamamlamamak için
karĢıya RST paketi göndererek bağlantıyı keser. Bu durumda portun durumu açık
(open) olur. Eğer port kapalı ise karĢıdan RST paketi döner. Bu durumda portun
durumu kapalı (close) olur. Eğer karĢıdan hiçbir cevap gelmiyor ise hedefin
önündeki güvenlik duvarı paketleri engelliyor olabilir. Bu durumda portun durumu
filitrelenmiĢ (fıltered) olacaktır. KarĢıdan ICMP (Internet Control Message Protokol
- Ġnternet Mesaj Kontrol Protokolü) port unreachable (eriĢilemez) (ICMP type 3 code
1, 2, 3, 9, 10, 13) mesajı dönüyorsa yine arada güvenlik duvarı olabilir ve portun
durumu filitrelenmiĢ (fıltered) olarak yorumlanacaktır.
UDP tarama (Nmap –sU): Tarama daha yavaĢtır ve sonuçlar bazen yanlıĢ
çıkabilmektedir. KarĢıdaki makinaya UDP paketi yollanır. Eğer karĢıdan UDP
cevabı geliyorsa port açık (open) olarak algılanır. KarĢıdan UDP paketine cevap
olarak ICMP port unreachable paketi geliyorsa (ICMP type 3 code 3) port kapalı
(closed) olarak algılanır. ICMP port unreachable ( type 3 code 1, 2, 9, 10, 13) mesajı
dönerse port filitrelenmiĢ (fıltered) olarak algılanır. UDP paketine karĢı herhangi bir
paket gelmediği zamanlarda açık/filitrelenmiĢ (open|fıltered) olarak yorumlanır.
TCP tarama (Nmap –sT): ―-p‖ parametresi ile (–p 1-65535 Ģeklinde) portlar
özellikle belirtilmez ise Nmap 1-1024 arasındaki portları tarayacaktır. Üç‘lü el
sıkıĢma tamamlanır. SYN paketi yollanır, SYN+ACK dönerse port açık (open),
cevap dönmez yada ICMP port unreachable dönerse yada hiçbir cevap dönmezse
filitlenmiĢ (fıltered), RST dönerse kapalı (closed) olarak yorumlanır.
Nmap ACK tarama (Nmap –sA): Durum denetlemeli (stateful) güvenlik
duvarlarında iĢe yaramaz. Hedefe ACK paketleri yollanır. Amaç açık portları
öğrenmekten ziyade ağ haritası çıkartmaktır.
FIN push URG ve XMASS tarama: Hedef sisteme URG push ve FIN paketleri
yollanır. RST paketi geriye dönerse port kapalı ve herhangi bir paket geri dönmez ise
port açık olabilir.
Nmap–Badsum parametresi ile tarama yapma: YanlıĢ sağlama toplamına
(Checksum) sahip paketler hedefe yollanır. Paketler düĢürülüyor ve geriye herhangi
bir cevap dönmüyor ise hedefin önünde güvenlik duvarı olmadığı düĢünülür. Çünkü
22
son kullanıcı bilgisayarları Badsum paketlerine cevap vermez. RST yada ICMP port
unreachable paketleri döndüğü zaman hedefin önünde güvenlik duvarı olduğu
düĢünülür. Son kullanıcı sistemleri bu paketlere cevap vermemesine rağmen
güvenlik duvarına cevap verebilmektedir. Test yapan kiĢi Badsum ve normal
Checksuma sahip paketlerle tersini yaparak TTL (Time to Live - Paket YaĢam
Süresi) değerlerini karĢılaĢtırır ve güvenlik duvarı olup olmadığını anlamaya çalıĢır.
Aynı alt ağda yapılan taramalarda TCP yada ICMP yerine Nmap ARP
kullanmaktadır. --spoof_MAC parametresi ve spoof MAC adresi ile tarama
yapabilmektedir.
Nmap versiyon tarama (-sV): Versiyon tarama sayesinde önünde SYN cookie
bulunan sistemlerde hangi servislerin çalıĢtığı bulunabilir. Ayrıca bu tarama yöntemi
ile portların arkasında çalıĢan servisler de tespit edilebilir.
3.2.1.7. Servis versiyonu bilgi alma
Banner yakalama yöntemi, hedef sistemde çalıĢan servis hakkında, servisin türü ve
versiyonu gibi bilgilerin alınmasını sağlayan bir yöntemdir. Hedef sistemde IPS‘in
olup olmadığının anlaĢılması gibi husularda da kullanılır. Kullanımı aĢağıdaki
gibidir:
―telnet 192.168.1.23 80‖.
ġekil 1.5‘te yapılmıĢ olan uygulama örnek olarak verilebilir.
ġekil 3.5. Banner yakalama
Dönen cevapta web sunucu versiyonu görülebilir. Eğer cevap web sunucudan
dönüyorsa arada IPS olmadığı anlaĢılır. Hedef sistemde neyin çalıĢtığı bilinirse, o
sisteme göre istismar kodu ile atak yapılabilir. Banner yakalamayı engellemek için
L7 güvenlik duvarı veya IPS kullanılması gerekir. IPS üzerinde imza yazılarak açık
23
portlardan gelen telnet istekleri kapatılabilir. IDS kullanılarak da gelen istekler
loglanmalıdır.
3.2.1.8. Ağa giden yolun belirlenmesi
Ağ haritasının çıkartılması için hedef ağa hangi yollardan gidilebileceğinin
belirlenmesi gerekmektedir. Bu yolların belirlenmesi için Traceroute ve
Ttcptraceroute gibi araçlar kullanılabilmektedirler. Traceroute ve Tcptraceroute
araçları, ICMP ve UDP tabanlı çalıĢır. Hedefe gönderilen paketlerin hangi yoldan
gittiğinin anlaĢılması için kulanılır. Paket yaĢam süresi değeri varsayılan olarak
routerlarda 256, linux makina ve switchlerde 64, windows makinalarda 128‘dir.
Paket her bir cihazın üstünden geçtiğinde TTL değeri 1 birim azalır. Böylece hedefe
giderken kaç router atlandığı, hatta Tcptraceroute da kullanılarak, karĢı tarafta
güvenlik duvarı olup olmadığı anlaĢılabilir. Buna karĢın, Tcptraceroute karĢı
sistemdeki cihazda UDP ve ICMP portları kapalı oluğu durumlarda kullanılabilir.
KarĢıya TCP paketi gönderir. Ġlk durumda güvenlik duvarı var ise güvenlik duvarının
IP adresi görünmez ve **** olur. Tcptraceroute denemesinde güvenlik duvarının IP
adresi görülebilir.
3.2.2. Sızma testlerinde yapılan ataklar
3.2.2.1. Fiziksel saldırılar
Fiziksel katmanda dijital sinyal taĢındığı için sinyalin alınması, kopyalanması ve ek
donanımlarla ele geçirilmesi gibi saldırılar bu katmanda yapılabilmektedir. Son
kullanıcıya ait makina yada sunucu ile kabloların birleĢme noktalarına donanım
tabanlı keyloggerlar takıldığında, kullanıcıya ait tüm bilgileri üzerlerinde
depolayabilmektedirler. Basılan her tuĢ yazılan her Ģey keylogger üzerine de yazılır.
Bu açıdan donanımsal keyloggerların fiziksel katman için oluĢturduğu tehdit gözardı
edilemez. Fiziksel eriĢime açık olan makinalar farklı iĢletim sistemleri ile açılarak
Ģifreleri değiĢtirilebilmektedir. Bakır kabloların üzerinden geçen dijital sinyalin,
elektromanyetik alandan yararlanılarak çeĢitli cihazlarla elde edilmesi yöntemi
tempest olarak adlandırılmaktadır (Wikipedia The Free Encyclopedia, 2013b).
24
Ayrıca atak yapan kiĢinin cihazların yanına yaklaĢabilmesi konsol portlarından
bağlantı yapabilmesi de güvenlik açısından çok büyük tehlike oluĢturmaktadır.
Konsol Ģifrelerinin fiziksel eriĢim halinde kırılması olasıdır. Ayrıca son kullanıcıların
makinalarının parolalarının çeĢitli yöntemler ile çok rahat bir Ģekilde baypas edilmesi
fiziksel güvenliğin önemini arttırmaktadır.
3.2.2.2. Ağ ortadaki adam saldırıları
Ortadaki adam saldırılarının anlaĢılabilmesi için aĢağıda ġekil 3.6‘da görülen IPV4
ve IPV6 yapıları ile ARP ve NDP (ağ keĢif protokolü) çalıĢma mantıklarının açıklığa
kavuĢturulması gerekmektedir.
ġekil 3.6. IPV4 ve IPV6 yapıları (Cisco, 2013a)
ARP adres çözümleme protokolüdür. ARP, OSI katmanlarında 3. katmanda çalıĢan
bir protokoldür. Görevi IP adreslerinden MAC adreslerini çözümlemektir. IP
adreslerden MAC adreslerini çözümlemek için broadcast ARP istek paketleri yollar,
25
gönderilen ARP istek paketlerini alan bilgisayarlar arasından istekteki IP‘ye sahip
olan bilgisayar MAC adresini unicast olarak istek yapan makinaya yollar. Ağ içi
iletiĢimi switch denilen ağ cihazı sağlar. Switch üzerinde hangi IP adresinde hangi
MAC adresinin tutulduğuna dair kayıtlar CAM (Content Adress Memory Table -
Hafıza Adres Ġçerik Tablosu)‘de bulunur. ARP protokolu IP‘den MAC çözümler ve
CAM tablosunun doldurulmasını sağlar. Bu atak, broadcast olarak gelen ARP
isteklerine çözümlenmek istenilen IP adresine sahip olmayan makinanın ARP cevap
(reply) göndermesiyle ARP kayıtlarının zehirlenmesine yönelik yapılan ataktır
(Watkins ve Wallace, 2008).
Örneğin, ağda bulunan A makinasının IP adresi 192.168.1.1, MAC adresi
0000.aaaa.bbbb, B makinasının IP‘si 192 168.1.2, MAC adresi 0000.aaaa.cccc ve
saldırı yapacak olan C makinasının da IP‘si 192.168.1.3, MAC adresi
0000.aaaa.dddd1 olsun; Bunlardan A makinası ile B makinaları iletiĢim halinde
olsun; A makinası B makinasının MAC adresini sorar, Broadcast olarak ―who has
192.168.1.2‖ ARP paketini 255.255.255.255 IP adresi hedefi ile ağa yollar. Atak
yapan makina kendi MAC adresi ile A makinasına unicast cevap verir. A
makinasının ARP girdilerinde B makinasının IP‘si 192.168.1.2, MAC adresi ise atak
yapan makinanın MAC adresi, yani 0000.aaaa.cccc olacak Ģekilde tablo kayıtları
değiĢtirilir.
B makinası ise A makinası ile iletiĢime geçmek için aynı Ģekilde A makinasına ARP
sorgusu gönderir. Atak yapan makina unicast ARP cevabı göndererek kendi MAC
adresini yollar. Bu aĢamadan sonra B makinasının ARP girdisinde A makinasının IP
adresi 192.168.1.1, mac adresi ise atak yapan makinanın MAC adresi, yani
0000.aaaa.cccc olmuĢtur. Bu aĢamadan sonra switchin CAM tablosundaki veriler
değiĢtirilmiĢ ve atak yapan makina A ve B makinaları arasına geçerek trafiği kendi
üzerinden geçirmiĢtir. Bu saldırıda switche ARP zehirlemesi yapılarak ortadaki adam
saldırısı yapılmıĢtır.
IPV6 yapısına geçiĢte ARP protokolünün yerini NDP almaktadır. Bu durumda
ortadaki adam saldırıları, bu değiĢikliğe rağmen yapılabilmektedir. KomĢu keĢif
1 MAC adresleri örneklem olarak verilmiĢtir.
26
protokolleri türlerine göre incelendiğinde, aĢağıdaki protokoller ile
karĢılaĢılmaktadır.
Rs (type 133): Rs paketleri (Router Solicitation Packet - Yönlendirici Ġstem
Paketleri), IPV6 kullanan hostlar tarafından IPV6 kullanan routerların bulunması için
göderilen 133. tip ICMPV6 paketleridir (Cisco, 2013b).
Ra (type 134): Ra paketleri (Router Advertisement Packet - Yönlendirici Duyuru
Paketi), gelen router solicitation paketlerine karĢılık olarak routerların varlıklarının
bildirilmesi ve Prefix ve MTU (Maximum Transfer Unit - Maksimum Transfer
Ünitesi) değerlerinin hostlara gönderilmesi amacıyla Ra paketleri kullanılmaktadır
(Cisco, 2013b).
Ns (type 135): Ns paketleri (Neighbor solicitation packet - Yönlendirici Duyuru
paketi), IPV6‘ya geçiĢte ARP protokolünün yerini NDP almıĢtır. Sorgular ve istekler
ARP protokolünde broadcast yapılırken NDP prtokolünde multicast yapılmaktadır.
ICMPV6 paketleri kullanılarak MAC adresi bilinmeyen bir makinanın MAC adresini
elde edebilmek için sorgu yapan makinadan ff02::1 (bütün routerlar ve noktalar)
multicast adresine, ICMV6 type 135 neighbor solicitation, yani komĢu belirleme Na
paketleri gönderilir. Göderilen istekteki IP numarasına sahip olan makina, isteği
keserek ff02::1 multicast adresine ICMP type 136 neghbor advertisement, yani
komĢu bildirim Na paketi yollar. Bu Ģekilde tüm noktalar sorgu yapılan makinanın
MAC adresini öğrenmiĢ olur (Cisco, 2013 b).
Na (type 136): Neighbor advertisement paketleri, sorgu yapan hosttan gelen Ns
paketlerine cevap olarak gönderilen, sorgusu yapılan hostun MAC adresini sorgu
yapan hosta bildirmek için kullanılanılan, ICMV6 type 136 paketleridir. Gönderilen
cevap paketin hedef multicast IP adresi ff02::1:ff: (hedef IP adresinin son 24 biti) ve
hedef MAC adresi hedef IP adresinin son 24 biti olarak yazılır. Hedef IP adresinin
son 24 bitinin son kısma gelmesinin amacı multicast grupların bulunması içindir. Bu
otomatik olarak yapılmaktadır (Cisco, 2013 b).
AĢağıda ġekil 3.7‘de Na ve Ns paketlerinin ağ üzerinde nasıl gönderildiği
görülmektedir.
27
ġekil 3.7. NDP çalıĢma mantığı (Cisco, 2013b)
Redirect message (type 137): Üzerinden paket yollanan router, hedef ağa giden
daha kısa baĢka bir yol bulmuĢ yada biliyor ise paketi göndermek isteyen hostu ve
paketi, farklı bir router üzerine yönlendirme mesajı (ICMPV6 type 137) yollayarak
yönlendirir. Yönlendirme mesajı unicast olarak son kullanıcıya gönderilir. Router
tarafından hosta gönderilen unicast mesajda kaynak MAC, routerın MAC adresi,
hedef MAC, hostun MAC adresi, kaynak IP, routerın IP adresi ve hedef IP hostun IP
adresidir (Cisco, 2013b).
AĢağıda ġekil 3.8‘de görüldüğü üzere, A ve B gibi iki bilgisayar birbirleriyle
haberleĢmek için Ns paketlerini multicast olarak göndermektedir. Normal iletiĢimde
B' nin A‘ya gönderdiği Ns paketine, B‘nin Na paketi yollaması beklenirken, arada
saldırı yapan kiĢi, B yerine Na paketleri yollayarak trafiği kendi üzerinden geçirir.
Böylece IPV6 protokolü kullanılan ağda ortadaki adam atağı sergilenmiĢ olur
(Hauser, 2013).
28
ġekil 3.8. IPV6‘da yapılan ortdaki adam saldırısı (Hauser, 2013)
3.2.2.3. SSL ile ĢifrelenmiĢ kriptolu trafiklerde araya girme
SSL (secure socket layer) ağda akan trafiğin gizliliğini sağlamak amacı ile netscape
tarafından geliĢtirilmiĢ Ģifreleme sistemidir. 40 bitlik ve 128 bitlik anahtar
kullanılabilmekle beraber iĢleyiĢi iki çift anahtar yapısı ile sağlanmaktadır. Bu
anahtarlardan biri public diğeri ise private anahtardır. Public anahtar ile Ģifrelenen
veri private anahtar ile açılabilir. Bir örnek vermek gerekirse, A ve B iletiĢim
halindeki iki nokta olsun, A private anahtarını kendisinde tutarak B‘ye public
anahtarını verir. B, A noktasına göndereceği bilgiyi A‘nın vermiĢ olduğu public
anahtar ile Ģifreleyerek A‘ya gönderir. A private anahtarı ile kriptolu bilgiyi açar. A,
B‘ye bilgi göndereceği zaman B‘nin göndermiĢ olduğu public anahtar ile veriyi
Ģifreler B ise kendi private anahtarı ile veriyi açar. SSL trafiği ile transfer edilen
bilgiler, standart ortadaki adam saldırısıyla elde edilemezler. Ortadaki adam
saldırılarına ilave olarak SSL kullanılmasının atlatılması gerekmektedir. Buradaki
önemli nokta, SSL ile hizmet veren, hotmail, facebook gibi sitelerin son kullanıcıdan
80. portlarına gelen SSL‘siz bağlantı isteklerine de cevap verebilmesidir. Atak yapan
kiĢi, trafiği üzerinden ortadaki adam saldırısı ile geçirdikten sonra son kullanıcıyı
kendisine 80. porttan bağlar, sslstrip gibi programlarla SSL sertifikasını çıkartır ve
gerçekten gidilmesi gereken hedefe 80. porttan bağlanır. Böylece geçen veriler sniff
edilerek analiz edilebilir, hassas bilgilere yönelik saldırılar yapılabilir.
3.2.2.4. DHCP üzerinden yapılan ataklar
DHCP (Dynamic Host Configuration Protocol - Dinamik Host Yapılandırma
Protokolü) ağdaki makinaların IP, DNS ve ağ geçidi ayarlarının otomatik olarak
29
yapılandırılması için kullanılır. DHCP, UDP protokolünü kullanır. Bilgisayar ilk
açıldığı anda ortamda DHCP sunucu olup olmadığının kontrol edilmesi için DHCP
sunucunun 68. portuna son kullanıcının UDP 67. port noktasından discovery paketi
yollanılır. ġayet ağda DHCP sunucu var ise discovery paketini alan sunucu
kendisine discovery paketi yollayan son kullanıcıya offer paketi yollar. Son kullanıcı
offer paketini aldıktan sonra sunucuya request paketi yollar. Sunucu son kullanıcıya
ACK paketi yolladığında otomatik IP yapılandırma iĢlemi tamamlanır. Saldırı yapan
kiĢi IP dağıtarak kendini varsayılan çıkıĢ kapısı haline getirir; böylece tüm trafik
saldırı yapan kiĢinin üzerinden çıkar. Böylece ortadaki adam saldırısını yapmıĢ olur.
Saldırı yapan kiĢi sürekli discovery paketleri yollayarak IP adreslerini bitirir ve ağa
dahil olmak isteyen son kullanıcıların IP adresi almalarını engeller. Bu Ģekilde servis
dıĢı bırakma saldırısı sergilemiĢ olur (Wilkins ve Smith, 2011).
3.2.2.5. STP servis dıĢı bırakma saldırıları
STP sistemde oluĢabilecek döngüleri engelleyen protokoldür. Döngüyü engellerken
en küçük öncelik değerine sahip olan switch, root switch olur ve portları hiç bir
zaman bloklanmaz. Switch portları üzerinde gerekli güvenlik önlemleri
alınmadığında düĢük öncelikli STP paketleri sisteme gönderilerek ağ
durdurulabilmekte, atak yapılarak kendisini root haline getiren kiĢi ortadaki adam
saldırıları yapabilmektedir (Wilkins ve Smith, 2011).
3.2.2.6. CDP servis dıĢı bırakma saldırıları
CDP cisco discovery protokol, bir cihaza bağlı olan cihazların, cihaz üzerinden
görülebilmesine imkan veren protokoldür. Sahte CDP paketleri gönderen saldırgan
networkün iĢleyiĢini bozabilmektedir (Wilkins ve Smith, 2011).
3.2.2.7. MAC flooding saldırıları
MAC ve IP, adreslerin switch üzerinde tutulduğu tablo CAM (içerik) tablosudur.
CAM tablosunun tutabileceği kayıt sayısı sınırlıdır (örneğin 8196). MAC flooding
saldırılarında amaç CAM tablosunun sahte MAC adresleri ile doldurulması ve
switchin adeta bir hub gibi çalıĢmasının sağlanmasıdır. Daha önceden normal
30
durumda frame ve paketler gerçek sahiplerine giderken switch atak altında kaldıktan
sonra bir portundan aldığı tüm frameleri aldığı port dıĢında tüm portlardan çıkartır.
Portları dinleyen kiĢi paketleri yakalayarak diğer kiĢilerin hassas bilgilerini elde
edebilir (Wilkins ve Smith, 2011).
3.2.2.8. VLAN atlatma atakları
Yerel ağlarda ağları ayırmak için VLAN (Virtual LAN -- Sanal Yerel Alan Ağı)‘lar
kullanılmaktadır. Farklı broadcast alanlarının oluĢturulması ve eriĢim listelerinin
yazılarak birbirinden ayrılması güvenlik için önemli bir adımdır. VLAN‘lar
yapılandırılırken dynamic-desirable modunda kalan portlar üzerinden, bu portların
trunk moda çekilmesi ve etiketlenmiĢ framelerin gönderilmesiyle eriĢim listelerinde
tanımlanan kuralların etkisiz hale getirilerek, geçiĢi sınırlandırılmıĢ VLAN‘lara,
katman 3‘e çıkmadan katman 2 seviyesinde geçiĢi VLAN atlama saldırısı ile
mümkün olmaktadır (Wilkins ve Smith, 2011).
3.2.2.9. DNS üzerinden yapılan ataklar
DNS IP ve isimler arasındaki çevirimlerin yapılabilmesi için kullanılan sistemdir.
DNS sorgusunun nasıl yapıldığı aĢağıda ġekil 3.9‘da görülmektedir. DNS üzerinden
yapılan ataklar sonucunda son kullanıcılar sahte sitelere yönlendirilebilmekte hedef
sistem üzerinden bilgi toplanılabilmektedir. DNS‘e karĢı yapılan atakların daha iyi
kavranabilmesi için DNS sorgularının anlaĢılması gerekmektedir. Ġki çeĢit DNS
sorgusu yapılmaktadır. Ġteratif ve recursive sorgular. Recursive sorgu son kullanıcı
tarafından DNS sunucuya yapılan sorgudur. Ġteratif sorgu ise DNS sunucular
arasında yapılan sorgulardır. DNS IP-isim dönüĢümü kayıtlarını üzerinde tuttuğu için
güvenlik açısından en kritik sistemlerden bir tanesidir.
31
ġekil 3.9. Örnek DNS sorgusu
DNS üzerindeki kayıtların değiĢtirilmesiyle yapılacak saldırılarda son kullanıcılar
sahte sitelere yönlendirilebilmekte bilgileri çalınabilmektedir. Bir web sitesinin
benzerinin yapılması yada aynısının kopyalanması ile son kullanıcıların DNS
üzerinden sahte sitelere yönlendirlmesi olayına oltalama (phishing) denilmektedir. IP
adreslerinin farklı isimlere çevrilmesiyle son kullanıcılara yapılan saldırılara da
pharming adı verilmektedir. Yerel ağlarda ortadaki adam saldırıları ile birleĢtirilen
oltalama saldırılarında, kurban DNS'e sorgu gönderdiği zaman ortada atak yapan kiĢi
DNS sorgularına gerçek DNS‘in cevap vermesini engelleyerek, kendi üzerinde
oluĢturduğu dns‘ten cevap vererir ve kurbanı istediği sahte IP yada siteye
yönlendirebilir. Bu saldırı DNS aldatmacası (DNS spoofing) saldırısı olarak
adlandırılmaktadır. Servis sağlayıcıların dns sunucularına yönelik yapılan ataklarda,
atak yapan kiĢi dns'e sorgu göndererek, DNS belleğinde olmayan kayıtlara, root DNS
cevap göndermeden, kendisi cevap göndererek DNS kayıt zehirlemesi yapar, isim IP
çözümlemesine müdahale eder. Eğer DNS sunucu üzerinde zone transfer açık
bırakılmıĢ ise DNS üzerinde çalıĢan tüm servislerin bilgisi atak yapan kiĢi tarafından
alınabilir (Northrup ve Mackin, 2011).
3.2.2.10. Cookie enjektesi yöntemi
Web siteleri kendilerine bağlanan üye kullanıcılarını tanıyabilmek için kullanıcıların
bilgisayarlarına, içerisinde oturum numarası ve kullanıcı verileri gibi bilgileri
barındıran ufak bir dosya yerleĢtirir. Bu dosyaların çalınması durumunda bu cookiler
32
kullanılarak son kullanıcıların kiĢisel sayfalarına ve bilgilerine eriĢim sağlanılabilir.
Örnek olarak yakın zamana kadar facebook‘un cookileri, ortadaki adam saldırısı
yapılmıĢ bir trafikte, wireshark programında http cookie contains datr parametresi ile
alınabildiğinde, siteye enjekte edilerek son kullanıcının oturumu çalınabiliyordu.
Ancak bu açıklık daha sonra kapatılmıĢtır.
3.2.2.11. Parolalara yönelik yapılan saldırılar
Gün geçtikçe parolalara yapılan ataklar artmaktadır. Parolalara yapılan ataklar
deneme yanılma yöntemi, rainbow ve sözlük atak yöntemleri ile yapılabilmektedir.
Deneme yanılma yolu ile yapılan ataklar bruteforce ataklardır. Gizli soru cevabı için
tahmin denemeleri yada hedef kiĢi hakkında yeterli bilgi topladıktan sonra tahmini
parolaların denenmesi ile yapılan ataklardır. Sözlük atakları ise, içerisinde bilinen
sözcüklerin ve rakamların bulunduğu bir dosya kullanılarak Ģifre kırılmasına imkan
veren atak çeĢitidir. Rainbow (gökkuĢağı) atak, çeĢitli yöntemler ile hash edilmiĢ
kriptolu haldeki Ģifreleri kırmak için kullanılır. Sözlükteki kelimeler MD5 (Message-
Digest algorithm 5 - Mesaj özet algoritması 5) ile kriptolandıktan sonra rainbow
tablosuna yazılır. OluĢturulan tablodaki kriptolu Ģifreler, elde edilen Ģifre ile teker
teker karĢılaĢtırılarak, eĢleĢme sağlandığı takdirde, Ģifrenin kriptosuz halinin
getirilmesi ile Ģifre kırılmıĢ olur. Bunu online araçlar yada kiĢisel yazılabilecek
araçlar ile otomatize etmek mümkündür.
3.2.2.12. SQL injection
SQL, structured query language bilgileri tablolar halinde saklayarak gerektiği
zamanda kullanılmak üzere çağıran programlama dilidir. Sql açıklıklarından
yararlanılarak veritabanı ele geçirilebilir ve sistemlere arka kapı enjekte edilebilir.
Gerekli önlemler alınmadığı zaman aĢağıda belirtilen tarzda mantıksal denemeler
yapılarak veri tabanlarına eriĢilebilmektedir (Gupta, 2006):
―Admin ‗ or 1=1— ,' having 1=1-- , unıon select * from users where user_id = 102
group by user_id having 1 = 1;-- '; insert into users (user_name, logın_id, password,
creation_date) values('h12', 'hackme12', 'easy32', getdate());-- '; exec
master..xp_cmdshell sc query‖.
33
3.2.2.13. XSS açıklıkları
XSS açıklıkları web düzeyindeki kodlama hatalarından kaynaklanmaktadır. XSS
açıkları değiĢik türlerde ortaya çıkabilirler. XSS (Cross Site Scripting - Çapraz Site
Betik Saldırısı), CSRF (Cross Site Forgery - Çapraz Site Sahtecilik Betik Saldırısı)
açıklıkları, sunucu tarafından son kullanıcıların tarayıcılarına gönderilen betik
kodlara üçüncü kiĢiler tarafından müdahale edilmesi ile son kullanıcıların cookie
bilgilerinin ele geçirilmesine yönelik yapılan saldırılar olarak adlandırılır. Son
kullanıcı sunucuya bağlandığında, sunucu kendisine bağlanan son kullanıcıyı, son
kullanıcının bir sonrasında kendisini ziyaretinde tanıyabilmek için, son kullanıcının
bilgisayarına, içerisinde tanılama bilgileri olan ufak bir TXT dosyası koyar. Son
kullanıcı sunucuya bağlandığı zaman sunucu bu dosyadan son kullanıcıyı tanımlar.
XSS saldırılarının hedefinde cookielerin (tanımlama bilgilerinin) çalınması amacı
yatar. Bu saldırıların yapılabilmesi için, Tablo 3.3‘teki kodlar kullanılır. Get ve post
metodları ile verilerin alındığı yorum kısımları, ziyaretçi defterleri, arama yapılan
kutular, Ģifre girilen kısımlara yazılmıĢ kodların kullanılması ile xss açıklıkları
sömürülebilir (Demir, 2013).
Tablo 3.3. XSS ataklarında kulanılan javasript kodları
Script Ġstemci taraflı betikleri tanımlayan html kodu
Object Html sayfalara resim video flash eklemeye yarayan html kodu
Embed Plug-in eklemeye yarayan html kodu
Applet Java applet eklemek için kullanılır
3.2.2.13.1. Reflected XSS saldırısı
XSS açığı bulunan bir siteden, sitenin üyesine zararlı kodalar içeren linkin
gönderilmesi ile son kullanıcının linke tıklaması halinde saldırı yapan kiĢinin
hazırlamıĢ olduğu zararlı siteye yönlendirilmesi ile üyenin kullanıcı bilgilerinin
çalınması olayı reflected XSS saldırısına örnek verilebilir (Demir, 2013; Stuttard ve
Pinto, 2011). ġekil 3.10‘da olası bir reflected XSS saldırısının oluĢ süreci
görülmektedir.
34
ġekil 3.10 Reflected XSS atağı (Stuttard ve Pinto, 2011)
3.2.2.13.2. Stored XSS saldırısı
Saldırgan son kullanıcıdan ziyade web sitelerine saldırı düzenler. Saldırı yapacak kiĢi
web sitesinde yada forumda yeni bir baĢlık yada alan açarak zararlı kodları, örneğin
―<script>alert(document.cookie)</script>‖ gibi, siteye gömer. Atak yapan kiĢinin
hazırladığı yere gelen son kullanıcıların cookie bilgilerinin çalınması ile yapılan
saldırı türüdür. ġekil 3.11‘ de bu saldırı tipi gösterilmiĢtir (Demir, 2013; Stuttard ve
Pinto, 2011).
ġekil 3.11. Stored XSS atağı (Stuttard ve Pinto, 2011)
35
3.2.2.13.3. CSRF (cross site request forgery)
Bu saldırı son kullanıcılara link gönderilerek yapılan bir saldırı tipidir. Örnek bir
senaryo ile anlatılması gerekirse; Jack bir forumda gezinirken Bob ile chat
yapmaktadır. Jack Bob ' a aĢağıdaki gibi bir link göndererek ilgisini çekmek ister:
―<img src=http://bank.example.com/withdraw?account=Bob&amount=1000000&for
=Jack>‖.
Bu noktada saldırının baĢarılı olabilmesi için, üzerinden saldırı yapılan web sitesinin
CSRF açıklarını barındırması, Bob‘un cookilerinin expire olmaması (cookilerin
geçerlilik zamanının devam etmesi ve Bob‘un aktif bir Ģekilde sitede doğrulama
yapmıĢ bir Ģekilde zafiyet içeren sitede gezmesi) ve Bob‘un linke tıklaması
gerekmektedir. Burada Bob Jack tarafından gönderilen resmi yüklerken Jack‘e
Bob‘un cookileri kullanılarak Bob‘un hesabından para transferi gerçekleĢecektir
(Wikipedia The Free Encyclopedia, 2013c) .
3.2.2.14. Virüs saldırıları
Virüsler bilgi sızdırma, kredi kartı bilgileri çalma, eğlence, zarar verme gibi amaçlar
doğrultusunda yazılmıĢ kötü amaçlı yazılımlardır. Virüslere örnek olarak stuxnet
virüsü verilebilir. Stuxnet virüsü VirusBlokAda isimli Rus firması tarafından
farkedilmiĢtir. Stuxnet var olan soluncanlardan ve virüslerden farklı olarak, DOS
atakları tetiklemek yada son kullanıcıların kredi kartı bilgilerini çalmaktan ziyade
daha çok SCADA, PLC gibi sanayide kullanılan altyapı sistemlerini ele geçirmeye,
proje bilgilerini çalmaya yönelik bir virüsdür. Normal bir suç örgütünün yazdığı
kodlardan ziyade büyük organizasyonların, çok büyük miktarda paralar harcayarak
yazabileceği bir virüs olduğu düĢünülmektedir. Stuxnetin en çarpıcı özelliklerinden
birisi de dört tane sıfırıncı gün açığını istismar edecek Ģekilde yazılmıĢ olmasıdır.
Güvenli olarak kendini yükleyebilmesi için firmalardan çalınmıĢ kök sertifikaları
kullanması, antivürüs yazılımlarına yakalanmamak için sürekli kendini değiĢtirmesi,
polimorfik yapısı ve enerji sistemleri ile SCADA sistemleri santrallerini hedef alması
bakımından tamamen farklı bir virüstür, aynı zamanda karmaĢık yapısıyla ve
kullanmıĢ olduğu çekirdek rootkit yöntemiyle yakalanması ve yapısının anlaĢılması
çok zor bir virüstür. Stuxnet kendini güncelleyebilme özelliği taĢır (Pamuk, 2010).
36
Stuxnette kullanılan sıfırıncı gün açıklıkları, MS10-046:Microsoft windows shell
(kabuk) kısa yol iĢleme açığı, autorun açık olmasa bile harici olarak takılan bir
cihazda zararlı kodların çalıĢtırılabilmesini sağlayan açıktır. Stuxnet bu açığı
kullanarak kodlarını otomatik olarak çalıĢtırıp sistemlere yayılmaktadır. MS10-061,
microsoft windows yazdırma kuyruklayıcısı açıklığı, Bu açıklık sayesinde SMB
(Server Message Block - Sunucu Mesaj Bloğu) portundan dinleme yapan stuxnet
diğer makinalara yayılabilmektedir. Bu açıklıkların yanında bulaĢtığı sistemde
yönetici haklarına sahip olmak için kullandığı iki tane yerel hak yükseltme açığı
kullanmasının yanısıra MS08-067 açığını da kullanmaktadır (Pamuk, 2010).
3.2.2.15. DOS ve DDOS
Hedef sistemin eriĢilebilirliğini engellemek için yapılan, biliĢim sistemleri hakkında
çok fazla teknik bilgiye sahip olunmasını gerektirmeyen saldırı çeĢitidir. AkĢam
trafiğinde trafiğin kitlenerek ilerlemenin durması DOS atak saldırısının çalıĢma
yapısına benzetilebilir. Eğer yolun kapasitesinin kaldırabileceğinden daha fazla
sayıda araba yola çıkarsa trafik tıkanır. Sistemin bant geniĢliğini aĢacak Ģekilde
paketlerin yollanmasıyla sistemin eriĢilebilirliği engellenir. Eğer gelen trafiğin bant
geniĢliği saldırı alan sistemin bant geniĢliğinden daha fazla ise yapacak bir Ģey
yoktur. Ayrıca spoof edilmiĢ IP adresleri ile saldırılar gerçekleĢtirildiği için DOS
ataklar hedef sistemde büyük sıkıntılara neden olur.
Bilgisayarlarına zararlı kodlar bulaĢtırılarak uzaktan yönetilen makinalara bootnet,
zombi makinalar denir. Fast flux ağlar, varez programların (crackli programların)
dağıtılması, phising sitelerin ve malware yayan sitelerin saklanması için kullanılan
bir DNS yöntemidir. Bootnet tespitini zorlaĢtırmak için uçtan uca dağıtık komuta ve
kontrol, yük dengeleme, proxy gibi yönlendirmelerinin bir arada kullanıldığı bir
yöntemdir. DDOS atak ise IRC (Internet Relay Chat - Internet Aktarımlı Sohbet)
sunucular tarafından kullanılan zombi makinalar tarafından dağıtık olarak yapılan
ataklardır. DOS ataklar çeĢitli Ģekillerde yapılabilmektedirler (Kurt, 2011).
SYN flood saldırısında, hedef makinaya spoof edilmiĢ IP adreslerinden, sürekli SYN
paketleri gönderilmesiyle, güvenlik duvarının state tablosu doldurulur. Bant
geniĢliğininde taĢırılması ile hedef sistem ulaĢılamaz hale gelir. ACK flood
37
saldırısında, hedef sisteme ACK paketlerinin aĢırı Ģekilde gönderilmesiyle sistemin
eriĢilebilirliği engellenir. UDP flood saldırısının amacı hedef sisteme UDP paketleri
yağdırılarak eriĢilebilirliğinin önlemesidir. UDP kullanan servislerde onay
mekanizması olmadığı için IP aldatmacası (spoofing) daha etkilidir. Http flood
saldırısında sisteme http bombardımanı yapılarak uygulamanın durmasına sebebiyet
verilir. Smurf atak yöntemi, broadcast isteklere cevap veren makinalarda iĢe yarar.
Hedef makinanın IP adresi taklit edilerek ağın braodcast adresine paketler yollanır.
Gönderilen isteklere dönen cevaplar hedef makinaya döneceği için hedef makinanın
eriĢilebilirliğine yönelik bir atak yapılmıĢ olur. Ping of death saldırısında ise, sisteme
kaldırabileceğinden daha fazla büyüklükteki -l 65500 paketleri parçalı halde
gönderilerek sistem ulaĢılmaz hale getirilir (Watkins ve Wallace, 2008).
3.2.2.16. IP tabanlı ses sistemlerine yapılan ataklar
SIP (Session Ġnitiation Protocol - Oturum BaĢlatma Protokolü) protokolü ses
aramalarını, video görüĢmelerini baĢlatmak, değiĢtirmek ve sonlandırmak için
kullanılan protokoldür. RTP (Relaible Transfer Protokol - Güvenli transfer
protokolü) ise ses paketlerinin taĢınması için kullanılan protokoldür. RTP trafiği
kriptosuz gönderilmek istenildiğinde genellikle TCP yada UDP 5060. bağlantı
noktası, kriptolu gönderilmek istenildiğinde 5061 UDP bağlantı noktası kullanılır.
AĢağıda Tablo 3.4‘de SIP istekleri görülmektedir.
Tablo 3.4. SIP istekleri (WIKI, 2013)
Invite Arama oturumunu baĢlatmak için kullanılan paket
Ack Invite isteğini onaylayan paket
Cancel Beklemede olan aramayı sonlandıran paket
Register Kullanıcıyı sip sunucuya kaydeder
Options Arayan kiĢi hakkında bilgi verir
Bye Ġki kiĢi arasındaki oturumu sonlandıran paket
ġekil 3.12‘de iki ip tabanlı telefonun iletiĢime geçiĢinde kullanılan sip paketleri
görülmektedir.
38
ġekil 3.12. IP telefonlar arasında oturumun baĢlaması (WIKI, 2013)
Ayrıca aĢağıda Tablo 3.5‘de SIP cevapları yer almaktadır.
Tablo 3.5. SIP cevapları (WIKI, 2013)
1xx Ġsteğin alındığını ve iĢleme tabi tutulduğunu belirtir
2xx Ġsteğin kabul edildiğini ve baĢarıyla iĢleme alındığını bildirir
3xx Yönlendirme cevabıdır.
4xx
Hata mesajıdır. Sunucuya ulaĢılamadığını yada hatta bir problem olduğunu
gösterir
5xx Hata mesajlarıdır. Ağ geçidine ulaĢılamaması buna örnek olarak verilebilir
6xx Global hata mesajı cevabı
Voice (ses) VLAN‘ları ve data VLAN‘ları konfigürasyon esnasında ayrılmaktadırlar.
Atak yapan kiĢi iki telefon arasındaki konuĢmayı dinlemek amacıyla ortadaki adam
saldırısı yaparak sniffer programından paketleri toplar ve bu ses paketlerini
birleĢtirerek konuĢmaları elde etmiĢ olur. Veri ve ses VLAN‘ları farklı olduğunda
ortadaki adam saldırısı imkansız hale gelecektir. Farklı ağların ağ geçitleri de farklı
olacağı için ortadaki adam saldırısı baĢarısız olacaktır. Fakat veri VLAN‘larından ses
VLAN‘ına geçiĢ yapılabilirse ses paketleri toplanılabilir. VLAN atlama gibi
yöntemlerle, sahte MAC adresleri sahte CDP paketleri gönderilerek VLAN atlaması
yapıldıktan sonra ARP zehirlenmesi ile sniffer kullanılarak ses paketlerinin
39
birleĢtirilip alınması mümkündür. Sürekli olarak gönderilen invite paketleri RTP
paketleri ile DOS saldırısı yapılması da mümkündür.
3.2.2.17. SCADA sistemlerine yapılan ataklar
SCADA uzaktaki sulama kanalları, kazanlar, barajlar, elektrik anahtarları gibi
yönetilebilen sistemlerin kontrolü, monitör edilmesi, son kullanıcının uzaktaki
sistemlere müdahale edebilmesi, ayar yapılabilmesi kısaca yönetilebilmesi için
kullanılan teknolojidir. Merkezi terminal ünitesi uzaktaki bilgilerin alınmasını,
monitörlenmesini, iĢlenmesini ve son kullanıcıya aktarılmasını sağlayan, donanım ve
yazılım tabanlı sistemdir. Merkezi kontrol yapısı, ihtiyaçlara göre tek PC (Personel
Computer - KiĢisel bilgisayar) yada birden farzla PC ile oluĢturulabilir. Merkezi
yönetim birimi uzak terminal ünitelerinden (RTU) aldığı bilgileri son kullanıcının
anlayacağı formata dönüĢtürerek son kullanıcıya ses, görüntü, yazı, grafik, resim gibi
formatlarda sunar. RTU fiziksel saha ekipmanları (sensör, enerji analizörü, sayaç gibi
ekipmanlar) ile merkezi yönetim birimi arasında TCP ve IP protokolleri, GSM
(Global System for Mobile Communications - Küresel Mobil ĠletiĢim Sistemi) hatları
üzerinden bilgileri taĢımakla yükümlü olan sistemdir. RTU'lar operatörün
komutlarını çalıĢtırabileceği gibi, gerektiği zaman kendi insiyatifinde alarm
verebilecek birimlerdir. Bu alarmlar ile sisteme kendileri müdahale edebilir. Bu
açıdan bakıldığı zaman RTU yada merkezi yönetim sistemlerine yapılacak DOS ve
DDOS ataklar sistemlerin çalıĢmasını durdurabilir. RTU‘nun kullanıyor olduğu
Modbus RTU, RP-570, PROFI-BUS, CAN-BUS, IEC60870-5-101, IEC 60870-5-
104, IEC870-6, IEC 61850 VE DNP3 haberleĢme protokolleri kullanılarak yapılacak
ataklar ciddi sıkıntılar doğurabilmekte ve sistemlerin kontrolünün kaybedilmesine
sebep olabilmektedir. AĢağıda ġekil 3.13‘de örnek SCADA ağ yapısı görülmektedir
(Kara ve Çelikkol, 2013).
40
ġekil 3.13. Standart bir SCADA sistemi (Kara ve Çelikkol, 2013)
3.2.2.18. Kablosuz ağlara yapılan ataklar
3.2.2.18.1. WEP atakları
Kablosuz ağların üçüncü Ģahıslar tarafından kolayca dinlenilebilmesi ve trafiğe
müdahale edilebilmesi hususlarından dolayı kablosuz ağ iletiĢimlerinin Ģifrelenmesi
gerekmektedir. WWEP (Wired Equivalent Privacy - Kabloya EĢdeğer Mahremiyet)
Ģifreleme tekniği en ilkel yöntemlerden birisidir. WEP paylaĢılan bir Ģifre kullanarak
kimlik doğrulama, gizlilik ve bilgi bütünlüğü sağlamak için kullanılır. WEP kimlik
doğrulama iĢlemlerinde, ilk olarak eriĢim noktası rastgele 128 bitlik bir metin mesajı
oluĢturarak son kullanıcılara yollar. Metni alan kullanıcı paylaĢılan WEP Ģifresi ile
veriyi Ģifreler ve eriĢim noktasına geri gönderir. EriĢim noktası ĢifrelenmiĢ metnin
doğruluğunu kontrol eder. Authentication (doğrulama) mesaj biti 0 olarak
gönderildiğinde açık güvenlik (open security), 1 olduğunda bağlantı WEP ile
41
Ģifrelenir. WEP bu süreçte RC4 algoritmasını kullanmaktadır. Orijinal metin RC4
anahtarı ile XOR iĢlemine tabi tutulur. PaylaĢılan anahtar son kullanıcıda da
bulunduğu için kendisine gelen kriptolu trafiği XOR iĢleminden geçirerek açar.
Gelen bilginin bütünlük kontrolü için bütünlük kontrol edici vektör (integrity check)
kullanılır. WEP ile Ģifrelenen verinin tekrar oluĢmaması için IV (Initilization Vector
-BaĢlangıç Vektörü) kullanılır. IV bitleri 64 bitlik veri paketlerinin 24 bitini
oluĢturmaktadırlar. IV değerleri paket içerisinde Ģifrelenmez. IV değerlerine küçük
bir alan ayrıldığı için Ģifrelenen verinin kendini tekrar etme olasılığı yükselmektedir.
Kendini tekrar eden bu veriler toplanarak IV‘lerin çözümlenmesi ve Ģifrelerin
kırılması çok kolay bir hal almıĢtır. Bu yüzden WEP kullanımı güvensizdir. WEP
Ģifrelerine yapılan ataklar ile 100-120 sn zaman aralığında WEP Ģifreleri kırmak
mümkündür (Ramachandran, 2011; OdabaĢ vd., 2013).
3.2.2.18.2. WPA (wifi protected access) atakları
WPA (Wi-Fi Protected Access -Wi-Fi Korumalı EriĢim)‘da kimlik doğrulamak için
sürekli değiĢtirilen anahtarların senkronizasyonu sağlanarak karĢılıklı el sıkıĢma
(handshake) yapılır. 802.1x kullanılıyorsa EAP (Extensible Authentication Protocol -
Kapsamlı Doğrulama Protokolü) paketleri ile ikinci aĢamada kiĢisel kimlik
doğrulaması yapılabilir. Bilgi bütünlüğü TKIP (Temprory Key Ġntegration Protocol -
Geçici Anahtar Entegrasyon Protokolü) algoritması kullanılarak sağlanır. Tkip
kullanmak WPA'da zorunludur. WPA‘ya yapılan ataklarda eriĢim noktasına yeniden
doğrulama yaptırılacak Ģekilde paketler gönderilerek el sıkıĢma yakalanır. Daha
sonra yakalanan el sıkıĢma üzerinde parola denemeleri yapılarak, sözlük atak ile
Ģifrelerin kırılması beklenir. ġifre atak yapan kiĢinin oluĢturmuĢ olduğu kelime
listesinde bulunmuyorsa Ģifre kırılamaz (Ramachandran, 2011; OdabaĢ vd., 2013).
42
4. BĠLĠġĠM SĠSTEMLERĠNDE SIZMA TESTLERĠ SENARYOLARI
Bu bölümde daha önceden sızma testi yapılmamıĢ kapalı bir ağ yapısında açıklıklar
test edilerek gerekli güvenlik önlemleri alınmadığı zaman oluĢabilecek tehlikeler
ortaya konmuĢtur. Ağın içerisinde bulunan eriĢim noktası, yönlendirici (router),
switch ve çeĢitli sunuculara yapılan ataklar, gerçek bir sistem üzerinde uygulanarak
elde edilen sonuçlar analiz edilmiĢtir.
4.1. Fiziksel Atak Uygulama Testleri
Son kullanıcıların bilgisayarlarına fiziksel olarak ulaĢıldığı zaman koruma parolaları
kolaylıkla atlatılabilinmektedir. Yapılan uygulamada hiren boot cd ve Backtrack5
linux cd‘leri ile makina boot edilerek Ģifreler baypas edilmiĢtir.
4.1.1. Hiren boot cd ile parolaların sıfırlanması
Windows, Ģifrelerini md5 formatında hash algoritmasına tabi tutulmuĢ Ģekilde
c:\windows\system32\config\sam dizini altında saklar. Bilgisayar hiren ile boot
edilerek sam (security account manager) altındaki dosyalar silinebilir ya da
değiĢtirilebilir. Bilgisayarın Bios ayarlarına girerek hiren boot cd‘den boot edilecek
Ģekilde bios ayarlarının yapılması gerekir. Eğer hiren usb‘e yazılmıĢ ise usb‘den boot
edilecek Ģekilde ayarlanması gerekir. Daha sonra sam‘e eriĢebilmek için aĢağıdaki
adımlar uygulanmalıdır.
Birinci adım olarak ġekil 4,1‘de görüldüğü üzere mini XP ile bilgisayar açılmıĢtır.
ġekil 4.1. Hiren boot cd ile bilgisayarın açılıĢ ekranı
43
Daha sonra sam dosyalarının nerede olduğunun bulunabilmesi için bilgisayarımdan
windows dosyalarının nerede olduğu bulunmuĢtur. Bu iĢlem ġekil 4.2‘de gösterildiği
gibi yapılmıĢtır.
ġekil 4.2. Parolaların bulunduğu yer
ġekil 4.2‘de görüldüğü üzere, sam dosyaları E:\ dizini altındadır. Hiren kullanılarak
sam dosyaları silinebilir yada değiĢtirilebilir. Sam‘in yerinin E:\ dizini içerisinde
olduğu bilindiği için aĢağıdaki gibi yol E:\ olarak belirtilerek Ģifreler değiĢtirilebilir
yada silinebilir. ġekil 4.3‘te sam dosyalarının bulunduğu yere gidilmiĢtir. Söz konusu
Ģekil 4.3‘te görüldüğü üzere Ģifreler değiĢtirilebilir yada boĢ bırakılarak direkt olarak
kaldırılabilir.
ġekil 4.3. Parolaların değiĢtirilmesi
44
Bu iĢlem sonucunda Ģifreler silinmiĢ ve bilgisayar yeniden baĢlatıldığı zaman parola
sormamıĢtır.
4.1.2. Windows Utilman.exe zafiyeti
Bu yöntemde bilgisayar Backtrack iĢletim sistemi ile açılır. C:\\windows\\system32
dizini altında bulunan cmd.exe, utilman.exe üzerine kopyalanarak bilgisayar
açılırken gelen parola ekranının sağ alt köĢesinde bulunan simge kullanılarak
terminale eriĢim hakkı kazanılır. ġekil 4.4‘te Backtrack ile boot edilmiĢ iĢletim
sisteminde windows iĢletim sisteminin yüklü olduğu parça tespit edilmiĢ, ardından
cmd.exe, utilman.exe üzerine kopyalanmıĢtır.
ġekil 4.4. Utilman.exe dosyasının bulunduğu yer
Cmd.exe dosyasının utilman.exe üzerine kopyalanıĢı aĢağıda ġekil 4.5‘de görüldüğü
gibi gerçekleĢmiĢtir.
ġekil 4.5 Cmd.exe dosyasınn kopyalanması
Bilgisyar açılırken Utilman.exe nin çalıĢtırdığı simge tıklanıldığında konsol ekranı
ġekil 4.6‘daki gibi açılacaktır.
45
ġekil 4.6. AçılıĢ ekranında utiman.exe simgesi ile konsol eriĢimi
ġekil 4.6‘da görüldüğü gibi kullanıcı isimli kullanıcı oluĢturularak sisteme admin
yetkileri ile giriĢ yapılabilir.
4.1.3. Windows parolalarının kırılması
Windows 7, windows 8, windows sunucu 2008 gibi sistemler, parolalarını nt2
formatında kriptolanmıĢ ve hash algoritmasından geçmiĢ Ģekilde saklamaktadırlar.
Bu Ģifrelerin fiziksel eriĢime açık bir makinada kırılabilmesi için aĢağıdaki adımlar
uygulanarak bu test gerçekleĢtirilmiĢtir.
Öncelikle windows sam dosyalarının nerede olduğu ġekil 4.7‘de görüldüğü gibi
tespit edilir.
ġekil 4.7. Linux bölümleri
46
Bir sonraki adımda sam dosyalarının bulunduğu yer /root dizini altında tempfolder
ismi ile oluĢturulan yere bağlanmıĢtır. ġekil 4.8‘de görüldüğü üzere bağlama iĢlemi
yapıldıktan sonra Windows klasörü artık eriĢilebilir duruma getirilmiĢtir.
ġekil 4.8. /dev/sda6 bölümünün bağlanması
ġekil 4.9‘da gösterildiği gibi boot anahtarı çıkartılır. Alınan bootkey yardımı ile sam
dosyasındaki hash edilmiĢ parolalar elde edilir. ġekil 4.9‘da samdump2 aracı
kullanılarak sam dosyalarının elde ediliĢi gösterilmiĢtir.
ġekil 4.9. Sam dosyalarının elde edilmesi
Elde edilen hash dosyaları johntheripper aracı kullanılarak ġekil 4.10‘da görüldüğü
gibi kırılabilir.
ġekil 4.10. Sam dosyalarının kırılması
Yukarıda ġekil 4.10‘da rainbow yöntemi kullanılarak Ģifre çözülmüĢtür.
47
4.2. Ağlarda Yapılan Ortadaki Adam Saldırıları
Daha önce ARP ve NDP protokol zafiyetlerinden yararlanılarak yapılan mitm
ataklarına detaylı Ģekilde değinilmiĢti. Bu bölümde söz konusu ataklara iliĢkin farklı
uygulamaları yapılmıĢtır.
4.2.1. Yerel ağlarda HTTP trafiğinden gönderilen parolaların alınması
Ortadaki adam atağının yapılabilmesi için öncelikli olarak ağ üzerinde keĢif
yapılması gerekir. Ġlk adım olarak ağdaki hostların bulunabilmesi için SYN paket
taraması yapılabilir. Ping tarama yöntemi daha hızlı sonuç verir, ancak güvenlik
duvarları ICMP paketlerine cevap dönmeyebilir. Bu yüzden önce SYN tarama ile
ağdaki hostların keĢfi yapılmıĢtır.
Bu bağlamda öncelikle ağda SYN taraması yapılarak açık portların ve ağdaki
makinaların bulunması sağlanmıĢtır. ―Route –n‖ komutu ile varsayılan çıkıĢ kapısı
belirlenerek tüm ağa yada belirli bir son kullanıcıya ortadaki adam saldırısı yapmak
için arpspoof aracı kullanılmıĢtır. Geçen trafiğin analizinde wireshark, ettercap ve
driftnet programlarından yararlanılmıĢtır. ġekil 4.11‘de gösterildiği üzere ağda olan
makinalar bulunmuĢtur.
ġekil 4.11. Route tablosu
SYN tarama sonucunda ağda bulunan son kullanıcıların IP adresleri bulunmuĢtur. Bu
adımdan sonra IP forwarding özelliği ― #echo ―1‖ > /proc/sys/net/ip_forward‖,
48
komutu ile etkin hale getirilmiĢtir. Ortadaki adam saldırısının yapılabilmesi için
arpspoof aracı terminalde aĢağıdaki komut yazılarak kullanılmıĢtır:
―#arpspoof –i eth0 –t 192.168.1.76 192.168.1.1‖.
Artık 192.168.1.76‘dan gelen 192.168.1.1 (modemden) internete akan trafik aradaki
adam saldırısını yapan makina üzerinden akmaktadır. Wireshark programı
çalıĢtırıldığı zaman akan trafik ġekil 4.11‘de gösterilmiĢtir;
ġekil 4.11. Wireshark çıktısı
Follow TCP stream özelliğini kullanarak paketler birleĢtirildiğinde, 192.168.1.76 IP
adresli kurbanın http üzerinden gönderdiği Ģifre verilerine, ġekil 4.12‘de görüldüğü
gibi eriĢilebilmiĢtir.
ġekil 4.12 Wireshark‘tan elde edilen Ģifreler
Ettercap aracı i―ettercap –i eth0 –T‖ komutu ile çalıĢtırılarak aradaki trafik Ģekil
4.13‘deki gibi yakalanmıĢtır.
ġekil 4.13. Ettercap‘ten görüntülenen trafik
49
Driftnet aracı kullanılarak kurbanın girdiği sitelerdeki resimlerin görsel olarak
görülebilmesi mümkündür. Terminalde yazılan ―#driftnet –i eth0‖, kodu ile ġekil
4.14‘de görülen resimler görüntülenmiĢtir.
ġekil 4.14. Driftnet aracı çıktısı
Urlsnarf aracı kullanarak kurbanın çıkıĢ yaptığı siteler ġekil 4.15‘deki gibi
izlenilebilir.
ġekil 4.15. Akan trafikte gözlenen URL‘ler
Http trafiğindeki bilgiler açık olarak gönderildiği için ortadaki adam saldırısı ile
kolaylıkla çalınabilmektedir. Https trafiğinde veri akıĢı SSL kullanılarak kriptolu
Ģekilde gönderildiği için ortdaki adam saldırısı yapılarak trafik dinlenirse bile
kriptolu trafik görüleceği için veriler anlaĢılamayacaktır. Bu durumlarda ssl çıkartma
yöntemi kullanılabilmektedir.
4.2.2. SSL trafiğinde araya girme
Hem 443 (https) hemde 80. Portundan (http) bağlantı sağlayabilen hotmail, facebook
gibi siteler, öncelikli olarak SSL kullanarak 443. porttan bağlantı kurmak isterler.
50
Fakat bağlantı yapan kiĢi 80. porttan bağlantı yapmak istediğinde http kullanarak da
bağlantı kurulumuna izin verirler. Bu saldırganların kullanabileceği bir açıktır.
Ortadaki adam saldırısını yapan kiĢi sslstrip aracısını kullanarak bu tarz sitelere
yapılan bağlantıları bu araç ile 80. porttan yapmakta, trafik http üzerinden aktığı için
de parolaları açık bir Ģekilde görebilmektedirler.
Buna örnek vermek gerekirse;
192.168.1.76 hostu üzerinde SSL oturumlarında araya girme saldırısı testi aĢağıdaki
gibi yapılabilir:
Önclikle ―ortadaki adam‖ saldırısı için ipforwarding özelliği açılır;
―#echo ―1‖ > /proc/sys/net/ip_forward‖.
Daha sonra atak yapan kiĢinin 80. portuna gelen trafik 8080. portuna yönlendirilerek
8080. porttanda ilgili sitenin 80. portuna yönlendirilir:
―#iptables –t nat –A PREROUTING –p tcp –dport –dport 80 –j REDIRECT –to-port
8080‖.
Bu nokatadan sonra sslstrip aracı çalıĢtırılarak SSL trafiğindeki SSL sertifikalarının
iĢlevinin ortadan kaldırılarak trafiğin üzerindeki verilerin anlaĢılır Ģekilde
kaydedilmesi sağlanır. AĢağıdaki komut ile sslstrip aracı çıkartılabilir:
―#cd /pentest/web/sslstrip
#python sslstrip.py –l 8080 –w /root/Desktop/ssl.log‖.
Bu aĢamadan sonra kurban hotmail sitesine bağlanmak istediğinde, hotmail karĢısına
ġekil 4.16‘daki gibi SSL‘siz Ģekilde gelecektir.
ġekil 4.16. Atak yapılan kiĢinin gördüğü SSL‘siz hotmail sayfası
51
ġekil 4.16‘nın URL kısmına bakıldığında bağlantının iletiĢiminin https olmadığı, http
olduğu görülmektedir, yani SSL sertifikaları gözükmemektedir. Çünkü SSL ile
iletiĢim artık yoktur. Kurban parola ve Ģifresini yazdığı anda hotmaile bağlanacak
fakat kutuya yazdığı parola ve mail bilgileri atak yapan kiĢi tarafından
kaydedilecektir. Bu uygulamada rastgele gerçek dıĢı adres ve parola yazılarak,
kutuya yazılan herĢeyin atak yapan kiĢiye gönderileceği gösterilmiĢtir.
Aynı atak facebook için de uygulanabilmekte olup SSL trafiğinde araya giren kiĢi
URL kısmında da görüldüğü üzere, trafik http üzerinden akar hale geldiği için,
kutulara yazılan bilgileri kendi üzerinde kaydedecektir. Facebook‘ta email ve parola
kısmına girilen veriler atak yapan kiĢi tarafından aĢağıdaki gibi kaydedilmiĢtir
Kurban facebook sitesine girdiğinde aĢağıdaki gibi http bağlantısı sağlayacak, atak
yapan kiĢi ise resimde görüldüğü gibi eposta yerine yazılan deneme Ģifre yerine,
yazılan parola kelimelerini kaydetmiĢ olacaktır. Facebook uygulaması aĢağıda ġekil
4.17‘de gösterilmiĢtir.
ġekil 4.17. Atak yapılan kiĢinin SSL‘siz facebook sayfası
ġekil 4.17‘ye dikkat edildiğinde tarfiğin http kullanarak aktağı SSL‘in olmadığı ve
masaüstünde trafiğin kaydedildiği dosya içerisinde hotmail ve facebook sitelerine
eriĢmek için yazılan parola ve mail kutularındaki bilgilerin kaydedildiği
görülmektedir.
52
4.2.3. DNS aldatmacası ve ortadaki adam saldırısı
Bu uygulamada sosyal mühendislik aracı olarak kullanılan ve Kali linux, Backtrack
linux iĢletim sistemleri üzerinde bulunan set aracı ile üzerinden oltalama saldırısı
yapılafak site kopyalanmıĢ, daha sonra ağın tümüne, yada atak yapılmak istenilen
son kullanıcıya ortadaki adam saldırısı yapılarak, son kullanıcının DNS isteklerine
idnsspoof aracı kulanılarak cevap verilmiĢtir. Bu uygulamada son kullanıcı gerçekten
hedef siteye eriĢtiğini düĢünmekte fakat olatalama saldırısından dolayı sahte siteye
yönlendirilmekte ve sonuçta giriĢ bilgileri alınmaktadır. Bu atağın baĢlatılması için
IP forwarding aĢağıdaki komutla etkin hale getirilir:
―#echo ―1‖ > /proc/sys/net/ip_forward‖.
Bu aĢamadan sonra aĢağıdaki komut kümesi takip edilerek istenilen sahte sayfa
oluĢturulabilir:
― #cd /pentest/exploits/set && ./set‖.
Araçtan gerekli seçenekler seçilerek kopyalanmak istenilen site oluĢturulur. ġekil
4.18‘de aracın çalıĢmaya baĢlayarak son kullanıcının Ģifre girmesi için hazır halde
olduğu görülebilir. Bu aracın yaptığı, hedef sitenin kodlarının kopyalanması ve
kopyalanan kodların apache web sunucusu üzerinde çalıĢtırılmasıdır.
ġekil 4.18. Set aracı konsolu
53
Sahte site hazırlandığında dnsspoof aracının kullanılabilmesi için dnsspoof DNS
kayıtlarının var olduğu bir dosya hazırlanması gerekmektedir. Bu dosya ġekil
4.19‘daki gibi hazırlanmıĢtır.
ġekil 4.19. DNS aldatmacası için hazırlanmıĢ dns kayıtları
Ortadaki adam saldırısı aĢağıdaki komut ile yapılarak atak baĢlatılır:
―# arpspoof –i eth0 –t 192.168.1.76 192.168.1.1‖
192.168.1.76 son kullanıcısı ile modem arasına girilerek trafik izlenmeye alınmıĢtır.
Daha sonra dnsspoof aracı ġekil 4.20‘de gösterildiği gibi çalıĢtırılmıĢtır.
ġekil 4.20. Dnsspoof aracının aktif hale getirilmesi
ġekil 4.20‘de görüldüğü üzere facecook.com adresine yapılan sorgulara yanlıĢ IP
adresi ile cevap verilerek son kullanıcı sahte siteye yönlendirilmektedir. Son
kullanıcı facebook sitesine bağlanmak istediğinde ġekil 4.21‘de görülen sahte sisteye
yönlendirilmiĢtir. ġekil 4.21‘de görülen URL kısmına bakıldığında sertifikasız
iletiĢim olduğuna dikkat edilmelidir.
ġekil 4.21. DNS aldatmacası sonrası son kullanıcının yönlendirldiği sahte sayfa
54
Son kullanıcı bilgileri sosyal mühendislik aracı konsoluna Ģekil 4.22‘deki gibi
düĢmüĢtür.
ġekil 4.22. Son kullanıcının giriĢ bilgileri
4.3. VTP, STP, CDP Ve DHCP Üzerinden Yapılan Atak Uygulamaları
STP (Spanning Tree Protocol), VTP (Vlan Trunking Protocol - Sanal Yerel Ağ
Trunk Protokolü), CDP (Cisco Discovery Prtocol - Cisco KeĢif Protokolü), DHCP
(Dynamic Host Configuration Protocol - Dinamik Host Yapılandırma Protokolü) gibi
protokoller, gerekse ağ optimizasyonu ve devamlılığı gerekse, ağ güvenliği açısından
büyük önem taĢımaktadır. Bu protokollerin kullanıldığı ağlar düzgün yapılandırılmaz
ise güvenlik açısından büyük problemler doğabilir. Bu problemlerin gözlenmesi
açısından aĢağıdaki testler sırası ile uygulanmıĢtır.
4.3.1. CDP testi
CDP engellenmesi gereken arayüzlerde engellenmediği zaman kötü niyetli kiĢilerin
ağ hakkında bilgi toplamasına yada DOS saldırılarının yapılmasına neden olur. CDP
paketleri dinlenildiğinde ġekil 4.23‘deki gibi paket içeriklerinden bilgi elde
edilebilir.
ġekil 4.23. CDP paketi
55
Sniffer çıktılarından CDP paketi analiz edildiğinde cihaz numarası, IP adresi,
markası VTP alanı ve port bilgisi gibi çok önemli bilgiler elde edilebilir. Elde edilen
bilgiler ıĢığında cihaza servis dıĢı bırakma saldırısı yapılabilir. Bunun için Backtrack
iĢletim sistemindeki yersinia aracı kullanılabilmektedir. CDP üzerinden yersinia aracı
ile ġekil 4.24‘te gösterildiği gibi ataklar yapılabilir. Yersinia cdp paketlerini tespit
ederek hedef sisteme CDP yağdıracak CPU (Central Process Unit - Merkizi ĠĢlem
Ünitesi) değerlerini yükselterek routerı durma noktasına getirecektir.
ġekil 4.24. Yersinia aracından CDP atağının baĢlatılması
Atak anında routera gelen CDP paketleri ġekil 4.25‘de gösterilmiĢtir.
ġekil 4.25. Wireshark‘ta atak anının görüntülenmesi
ġekil 4.25‘de routera gelen sahte CDP paketlerinin sadece bir kısmı gösterilmiĢtir.
ġekil 4.26‘da ise routerın tavan yapmıĢ cpu değerleri gösterilmektedir.
56
ġekil 4.26. Routerın cpu değerleri
Routerın CPU değerleri %98 seviyelerine çıkmıĢ ve router servis dıĢı kalmıĢtır.
4.3.2. DHCP üzerinden yapılan ataklar
DHCP protokolü, otomatik olarak IP ayarlarının yapılması için kullanılan
protokoldür. Gerekli güvenlik önlemleri alınmadığı zaman servis dıĢı bırakma
saldırıları yapılabilir, ortadaki adam saldırıları ile atak yapan kiĢi IP dağıtarak
kendisini varsayılan ağ çıkıĢ kapısı olarak yapılandırabilir. DNS adresleri atak yapan
kiĢinin istediği Ģekilde yapılandırılabilir. Bu uygulamada DHCP üzerinden servis dıĢı
bırakma testleri yapılmıĢtır. Yersinia ile atak ġekil 4.27‘deki gibi baĢlatılmıĢtır.
ġekil 4.27. Yersinia aracı ile DHCP atağının baĢlatılması
DHCP üzerinden DHCP sunucusuna sürekli olarak keĢif (discovery) paketleri
gönderilerek IP havuzundaki tüm adresler tüketilmiĢtir. Ağa dahil olmak isteyen
kullanıcılar IP adresleri tükendiği için ağa dahil olamamıĢtır. Yersinia kullanılarak
discover paketleri yağdırıldığında bu atak snifferdan ġekil 4.28‘deki gibi
izlenilmiĢtir.
57
ġekil 4.28. Wireshark DHCP atak çıktısı
Saniyeler içerisinde hem CPU değerleri yükselmiĢ hemde tüm IP adresleri
tüketilmiĢtir. Ġstatiksel paket sayıları ġekil 4.29‘da görüldüğü gibidir.
ġekil 4.29. Gönderilen DHCP paket sayısı
Sahte DHCP sunucusu oluĢturularak, ağa IP dağıtılması halinde, IP dağıtan kiĢinin
kendisini varsayılan ağ çıkıĢı olarak yapılandırmasıyla ortadaki adam saldırısı
yapabilir. Yersinia aracı ile bu saldırı ġekil 4.30‘da gösterildiği gibi yapılmıĢtır.
ġekil 4.30. DHCP üzerinden ortadaki adam saldırısı için yersinia modülü
58
Atak yapan kiĢi çıkıĢ noktası olduğu için atak yapan kiĢi üzerinden otomatik IP
yapılandırması yapan kiĢi ortadaki adam saldırısına maruz kalacaktır.
4.3.3. Switch cihazını hub’a dönüĢtürmek
Content adress memory table (switch MAC adres tablosu) doldurularak switch hub
cihazı gibi çalıĢıtırılabilir. Hub gibi çalıĢan switchdeki tüm trafik dinlenilebilir. Bu
atak uzun süre devam ettirildiği zaman servis dıĢı bırakma atağına
dönüĢebilmektedir. Bu test için Macof aracı, ―#macof –i eth0‖ komutu yazılarak,
eth0 arabirimi üzerinden kullanılmıĢtır. Atak baĢlatıldığında MAC tablosuna sahte
MAC adresleri yağdırılarak tablo doldurulmuĢtur. ġekil 4.31‘de atak paketleri anlık
olarak gösterilmiĢtir.
ġekil 4.31. Mac flood saldırısı sniffer çıktısı
Macof aracının görüntüsü ġekil 4.32‘deki gibidir.
ġekil 4.32. Macof aracının saldırı anında konsol görüntüsü
59
Bu ataktan etkilenen son kullanıcının ARP tablosu dolmuĢtur. ġekil 4.33‘de bu
tablonun bir kısmı gösterilmiĢtir.
ġekil 4.33. Saldırıdan etkilenen son kullanıcının ARP tablosunun bir kısmı
Atak yapan kiĢi, switch cihazını huba dönüĢtürdüğü için broadcast alandaki diğer
kullanıcıların tüm trafiğini görünteleyebilir hale gelmiĢtir. Örneğin 192.168.2.1 IP
adresine ping atan bir kiĢinin paketleri ġekil 4.3‘te gösterildiği gibi atak yapan kiĢi
tarafından görüntülenmiĢtir.
ġekil 4.34. Saldırı sonrası atağın baĢarılı olduğuna dair wireshark çıktısı
4.3.4. STP zafiyetleri üzerinden yapılan saldırılar
Bu uygulamada yapılan saldırıda, hedef swtichlerden BPDU (Bridge Protocol Data
Unit - Köprü Protoklü Data Ünitesi) paketleri gönderilerek root bridge seçiminin
yanlıĢ yapılmasına neden olunmuĢtur. Bu ataklar ile yerel ağlarda servis dıĢı bırakma
saldırıları yapılabilir. Saldırı senaryosu ġekil 4.3‘te gösterilmiĢtir.
60
ġekil 4.35. STP atak senaryosu
Ağda paketler dinlenildiğinde test ortamında ġekil 4.36‘da gösterilen paket
yakalanarak içeriğine bakılmıĢ, STP öncelik değeri belirlenerek bu öncelik
değerinden daha küçük değerlere sahip STP paketleri yollanılmıĢ ve ağ servis dıĢı
bırakılmıĢtır. Bu testte yine Backtrack iĢletim sisteminde bulunan yersinia aracından
yararlanılmıĢtır. ġekil 4.36‘da paket çıktısı ve uygulama görülmektedir.
ġekil 4.36. STP paket içeriği ve yersinia aracı ile atağın tetiklenmesi
Bu özellikler kullanılarak ―ortadaki adam‖ atak‘ı yapmak da mümkündür. Atak
yapıldıktan sonra switch üzerindeki CPU değerleri ġekil 4.37‘de gösterildiği gibi
olmuĢtur.
61
ġekil 4.37. Atak yapılan switchin CPU değerleri
4.3.5. VTP üzerinden yapılan DOS atak testi
Ağdaki switchler yapılandırıldıktan sonra transparan moda alınmaz ise revision
numarası büyük olan switch diğer switchler üzerindeki VLAN‘ları silebilir ve yeni
VLAN‘lar ekleyebilir. Bu testte VTP‘den yararlanılarak bu mantık doğrultusunda
yersinia aracı kulanılarak DOS atak yapılmıĢtır. ġekil 4.38‘de görüldüğü gibi atak
baĢlatılmıĢ ve VLAN 1 dıĢındaki tüm VLAN‘ların silindiği ġekil 4.38‘‘deki komut
ile switchten öğrenilmiĢtir.
ġekil 4.38. Yersinia aracı ile tetiklenen VTP atağın switch üzerindeki sonuçları
4.4. VLAN Atlama Saldırısı
Bu uygulamada pfsense, cisco 2950 ve 2 laptoptan oluĢan ağ senaryosu üzerinde,
pfsense üzerinde alt arayüzler oluĢturulmuĢ, cisco switch üzerinde ise VLAN 1 ve
62
VLAN 10 yapılandırılmıĢ biçimde ağ kurulmuĢtur. Pfsense üzerindeki eriĢim
kurallarından dolayı VLAN 1‘de bulunan kiĢi VLAN 10 ağına eriĢememektedir.
Fakat VLAN 1 üzerinden açık bırakılan DTP (Dynamic Trunking Protocol - Dinamik
Trunk Protokolü)‘den yararlanılarak port trunk moda çekilmiĢ, ardından 8021q
modülü yüklenmiĢ vconf aracı ile paketler VLAN 10 etiketi basılarak iletiĢim 2.
katmandan sağlanmıĢ pfsense kuralları atlatılmıĢtır. ġekil 4.39‘da wireshark
aracından yakalanan DTP paketi ile Yersinia aracı kullanılarak switch portunun trunk
moda çekilmesi için yapılan iĢlemler gösterilmiĢtir.
ġekil 4.39. DTP‘den yararlanılarak portun trunk moda alınması
Yersinia aracı kullanılarak port trunk moda çekildikten sonra yapılması gereken layer
2 için etiket oluĢturulmasıdır. Bu iĢlem ise aĢağıda ġekil 4.40‘da gösterildiği gibi
vconf aracı kullanılarak yapılmıĢtır.
ġekil 4.40. Linux tarafında etiket eklenilmesi
63
ġekil 4.40‘da görüldüğü gibi ping baĢarıyla gitmiĢtir. Emin olmak için switch
cihazına konsol ile bağlanılarak trunk durumuna bakıldığında ġekil 4.41‘de
görüldüğü gibi portun trunk moda geçtiği görülmüĢtür. 3. katmanda pfsense ile
yasaklanan eriĢim 2. katmanda DTP protokolü kullanılarak ihlal edilmiĢtir.
ġekil 4.41. Switch‘in port durumu
4.5. Windows Sunucu Ve Metasploitable Linux Üzerinde Yapılan Testler
GüncellenmemiĢ sunucu, router, switch gibi birçok sistem ve ağ bileĢeninin üzerinde
açıklıklar çıkabilmekte, bu açıklıkların istismar kodaları halihazırda
bulunabilmektedir. Bu bölümde yapılan testlerin amacı, ağlarda sızma testlerinin
yapılmaması ve gerekli güncellenmelerin uygulanmaması halinde atak yapanların
hangi sorunlara yol açabileceğinin ortya konmasıdır. Öncelikle sistemleri, portları
tarayarak hangi iĢletim sistemlerinin var olduğu, üzerlerinde hangi portların açık
olduğu, hangi servislerin çalıĢtığı belirlenerek, daha sonra zafiyet taraması yapılarak
bulunan açıklıklar istismar edilmiĢ ve sistem ele geçirilmiĢtir.
4.5.1. Microsoft Sunucu 2003 guvenlik testi
Bu uygulamada üzerinde gerekli güncellemeler yapılmamıĢ olan windows sunucu
2003‘ te sunucu taraflı istismar kodlarının kullanılması ile hedef sisteme nasıl
sızıldığı gösterilerek güncellemelerin önemine değinilecek Ģekilde gerekli testler
yapılmıĢtır. Uygulamanın ilk adımında Nmap aracı kullanılarak ağ taraması
64
yapılmıĢtır. ―#nmap –sS –top-ports 100 192.168.1.0/24‖, komutu ile ġekil 4.42‘de
görülen çıktı elde edilmiĢtir.
ġekil 4.42. Ağ port tarama sonuçları
Daha sonra ġekil 4.43‘de gösterilen iĢletim sistemi belirlemek için yapılan Nmap
taraması ile iĢletim sistemleri belirlenmiĢtir.
ġekil 4.43. Ağ iĢletim sistemi tarama sonuçları
65
Taranan kullanıcı ve sunuculardan saldırı yapmak için sunucu 2003 ve linux son
kullanıcısı seçilmiĢtir. Bu aĢamadan sonra windows sunucu 2003 üzerinde zafiyet
taraması yapılmıĢtır. Nessus otomatik olarak zafiyet tarama için kullanılabilcek bir
araç olduğuiçin bu uygulamada nessus tercih edilmiĢtir. Nessus ile tarama sonucunda
iĢletim sisteminin üzerinde çok önemli açıklıklar bulunmuĢtur. Atak yapan kiĢinin
verebilceği zararları göstermek amacıyla bu açıklıkların bir kısmı kullanılarak
sistemde oluĢturulabilecek etkiler incelenmiĢtir. Zafiyet tarama aracı tarafından
bulunan açıklıkların bir kısmı ġekil 4.44 te gösterilmiĢtir.
ġekil 4.44. Nessus zafiyet tarama aracının bulduğu açıklıklar
Açıklıklar bulunduktan sonra bu açıklıklar için geliĢtirilmiĢ hazır istismar kodları
kullanılarak hedef sistem ele geçirilmiĢtir. Buffer overflow yöntemi sayesinde
sunucu üzerinde, atak yapan kiĢi keyfi kodlar yürütebilmektedir. Ms08-067 açıklığı
metasploit framework kullanılarak ġekil 4.45‘de gösterildiği gibi istismar edilmiĢtir.
ġekil 4.45‘de gerekli parametreler verilmiĢtir. Payload olarak meterpreter
kullanılarak sisteme kabuk eriĢimi sağlanmıĢtır. ġekil 4.45‘de görüldüğü üzere
screenshot komutu ile ekran görüntüsü alınmıĢtır. Ayrıca ―run vnc‖ komutu ile uzak
masaüstü bağlantısı, ―uictl keyboard disable‖ komutu ile klavye çalıĢmaz hale
getirilebilmekte ve ―run webcam‖ komutu ile hedef makinanın webcam‘i
açılabilmektedir.
66
ġekil 4.45 ms08_067_netapi açıklığının istismar edilmesi
ġekil 4.46‘da ise auxilary yardımıyla yapılan taramada sisteme parolasız eriĢim
sağlanabildiği görülmüĢtür. Listedeki açıklıkların hepsi kullanılabilir fakat burada
örnek teĢkil etmesi açısından sunucu 2003 üzerinde bu açıklıklar üzerinden
gidilmiĢtir.
ġekil 4.46. Parolasız uzak masa üstü bağlantılarının bulunması
67
4.5.2. Metasploitable2 Linux ĠĢletim Sistemi Üzerindeki Güvenlik Testi
Daha önceden nmap ile belirlenen 192.168.1.23 IP adresine sahip Linux makina
üzerinde zafiyet taraması yapılırak ġekil 4.47‘de gösterilen sonuçlar elde edilmiĢtir.
ġekil 4.47. Metasploitable üzerinde bulunan açıklıklar
ġekil 4.47‘deki açıklıklardan yararlanılarak sisteme eriĢim sağlanılabilir. Açıklıkların
incelenerek istismar testlerinin yapılması hususunda aĢağıdaki testler yapılmıĢtır.
4.5.2.1. Sistemdeki arka kapının incelenmesi
Nessus raporlarında sistemde arka kapı bulunduğu ifade edilmiĢtir. Bulunan arka
kapıya bağlantı kurularak açıklık istismar edilebilmektedir. ġekil 4.48‘de arka kapı
kullanılarak sisteme yönetici eriĢimi sağlandığı gösterilmektedir. ġekil 4.48‘den
anlaĢılacağı üzere TCP 1524. portta arka kapı bulunmaktadır. Ġstismar etmek için
ġekil 4.48 de gösterilen NC aracı kullanılmıĢtır.
68
ġekil 4.48. Bulunan arka kapının istismarı
ġekil 4.48‘de görüldüğü gibi netcat kullanılarak arka kapı sayesinde sisteme root
olarak eriĢim sağlanmıĢ bu açıklık istismar edilebilmiĢtir.
4.5.2.2. Vs ftpd açıklığı
FTP üzerindeki TCP 6200 portundan dinleme yapan arka kapı sayesinde sisteme
eriĢim sağlanmıĢtır. Nessus‘un bulmuĢ olduğu bu açıklık ġekil 4.49‘da görüldüğü
gibi istismar edilerek test yapılmıĢ ve sisteme yönetici haklarıyla eriĢim sağlanmıĢtır.
ġekil 4.49. Vsftpd açıklığının istismar edilmesi
69
4.5.2.3. Samba buffer overflow açıklığı
Nessus ile tespit edilen samba buffer taĢırma açıklığı ġekil 4.50‘de görüldüğü gibi
istismar edilerek sisteme root yetkisi ile eriĢim sağlanmıĢtır.
ġekil 4.50. Buffer overflow açıklığının istismar edilmesi
4.6. Parola Atakları Testi
Bu bölümde sistemler sözlük parola atakları ve rainbow parola atakları ile test
edilmiĢtir.
4.6.1. Windows Xp host parola kırma atağı
Bu testte Xp kullanan son kullanıcının sistemi ele geçirilerek sam altında saklanan
parolası hash biçiminde alınarak ve rainbow tekniği uygulanarak kırılmıĢtır. ġekil
4.51‘de gösterildiği gibi önce virüs oluĢturulmuĢ; daha sonra bir bağlantı yardımıyla
son kullanıcılara dağıtılmak üzere Apache2 web sunucusuna yerleĢtirilmiĢtir.
70
ġekil 4.51. Truva atı hazırlanması ve web sunucuda konumlandırılması
OluĢturulan zararlı yazılım son kullanıcıya sosyal mühendislik kullanılarak
gönderilebilir. AĢağıdaki örnek format ile mail yolu ile oyun gibi yollanmıĢ,
program, son kullanıcının farkındalık seviyesinin az olmasından dolayı çalıĢtırıldığı
anda hedefe eriĢim sağlanılmıĢtır. Bu bağlamda son kullanıcı linke tıklayarak
programı çalıĢtırdığında ġekil 4.52‘de gösterildiği gibi hedef sisteme eriĢim
sağlanabilmektedir. ġekil 4.52‘de atak yapan kiĢi son kullanıcılardan gelen
bağlantılar için metasploit kullanarak dinleme noktası oluĢturmuĢ ve hedefe eriĢim
sağlamıĢtır.
ġekil 4.52. Dinleme noktası oluĢturulması
ġekil 4.53‘de atak yapan kiĢi sisteme eriĢim sağlamıĢ ve zararlı kodları çalıĢtırmıĢtır.
Uzaktan masaüstü bağlantısı açmıĢ, ekran görüntüsü almıĢ, keylogger yüklemiĢ
Ģifreleri hash halinde kendine transfer etmiĢ, istediği dosyayı da karĢıya
yükleyebilmiĢtir. Bu son kullanıcılar için çok tehlikeli bir durumdur. Tehlike txt adlı
dosya hedef sisteme yüklenmiĢtir. Son kullanıcının haberi dahi olmamıĢtır. ġekil
4.53‘de dosyanın upload edildiği yere bakıldığında dosyanın baĢarıyla yerleĢtirilmiĢ
olduğu görülmektedir.
71
ġekil 4.53. Sitemin ele geçirilmesi ve sistem üzerinde ilerlenilmesi
ġekil 4.54‘te karĢı tarafa keylogger yüklenerek hedef sistemdeki kullanıcının bastığı
tüm tuĢlar görüntülenmiĢtir. Örneğin karĢıdaki kiĢinin notepad programında yazdığı
karakterler ġekil 4.54‘te gösterilmiĢtir. Ayrıca hashdump komutu kullanılarak karĢı
sistemin sam dosyaları transfer edilmiĢtir. Notepad‘e yazılan kelimeler ġekil 4.54‘te
görüldüğü gibi atak yapan kiĢiye gönderilmiĢtir.
ġekil 4.54. Sistem üzerinde keylogger çalıĢtırılması
ġekile 4.54‘de hashdump komutu ile alınan Ģifreler ġekil 4.55‘de gösterildiği gibi
spiderman Ģifresi rainbow atak yöntemi ile kırılmıĢtır. Bu uygulamada johntheripper
aracından yararlanılmıĢtır.
72
ġekil 4.55. Nt parolaların rainbow yöntemi ile kırılması
4.6.2. Linux parola kırma saldırısı
Bu testte Linux iĢletim sistemine kabuk eriĢimi sağlanılarak Linux parolalarına
rainbow atak yapılmıĢtır. Bu testte Linux için sadece 24 byte‘lık bir kabuk kodu ile
kötü amaçlı yazılımların yazılabildiği gösterilmiĢtir. Bu doğrultuda Linux sistemler
içinde güvenlik çok önemlidir. ġekil 4.56‘da Linux Ubuntu iĢletim sistemine yönelik
binary payload oluĢturulmuĢtur. ―selinux‖ isimli binary truva atı oluĢturularak
Apache web sunucusu üzerinden son kullanıcılara yüklenmiĢtir.
ġekil 4.56. Linux için truva atı oluĢturulması
Son kullanıcı dosyayı açtığı anda saldırı yapan kiĢinin açmıĢ olduğu bağlantı
noktasına tersine bağlantı ile ġekil 4.57‘de gösterildiği gibi bağlanmıĢtır. Hedef
sisteme eriĢim sağlanılmıĢtır.
73
ġekil 4.57. Linux sistemin ele geçirilmesi
Bu noktadan sonra SHA 512 (Secure Hashing Algorithm 512 - Güvenli Hash
Algoritması) ile hash edilmiĢ Ģifreler alınıp, johntheripper aracı ile kırılmıĢtır. Bu
iĢelem ġekil 4.58‘de görüldüğü gibi uygulanmıĢtır. Uygulamanın sonunda Ģifre john
aracı kullanılarak rainbow atak yöntemi ile kırılmıĢtır. SHA 512 ile hash edilmiĢ
Ģifreyi johntheripper aracı Ģekil 4.57‘deki gibi test etmiĢtir. Root parolası kırılarak
parolanın ―password‖ olduğu görülmüĢtür.
ġekil 4.58. Sitemin Ģifrelerinin kırılması
74
4.6.3. Rooter SSH Ģifresini sözlük atak ile kırmak
Bu senaryoda SSH konfigürasyonunda gerekli sınırlamaları yapılmamıĢ olan router
SSH Ģifresi sözlük parola atak yöntemi kullanılarak kırılmıĢtır. Bu uygulamada hydra
aracı kullanılmıĢtır. Hydra aracı ġekil 4.59‘da gösterildiği gibi çalıĢtırılmıĢtır.
ġekil 4.59. Hydra ile sözlük atak
Saldırı anında snifferdan alınan paket akıĢının anlık görüntüsü ġekil 4.60‘da
gösterilmiĢtir.
ġekil 4.60 Wireshark sözlük atak çıktıları
ġekil 4.61‘ de ise Ģifre hydra aracı tarafından kırılmıĢtır.
ġekil 4.61 Parolanın bulunması
75
4.6.4. Sözlük ataklar için liste oluĢturma yöntemleri
Bu testte cupp aracından yararlanılarak, hedef hakkındaki bilgiler cupp aracı ile
sözlük oluĢturmak için kullanılmıĢtır. Bir senaryo oluĢturulmuĢtur. Senaryoya göre
doğum yılı 01.01.1970 olan John adında ağ departmanında çalıĢan bir kiĢinin
oluĢturduğu parolanın kırılması arzulanmaktadır. Parola politikasına göre tüm Ģifreler
enaz 9 en çok 12 haneli olmalıdır ve rakam içermelidir.
Bu senaryodaki bilgiler ıĢığında düzenlenecek sözlük atak saldırısında parola listesi
oluĢturmak için cupp 9-12 haneli ve rakam içeren parolaları ayırmak için pw-
inspector kullanılmıĢtır. ġekil 4.62‘de cupp aracı ile kiĢiye özel hazırlanan liste pw-
inspector aracı ile formata sokulmuĢtur. Böylece, pw-inspector aracı sayesinde parola
politikasına göre üretilmiĢ parola listesi oluĢturulmuĢtur.
ġekil 4.62. Cupp aracı ile sözlük hazırlanması
76
4.7. Sahte Mail Ġle Oltalama (Phising) Testi
PHP gibi prorgamlar ile betik yazılarak yada bu testte kullanılan internetteki
servislerden yararlanılarak sahte mailler ile gerçek maillerin taklit edilmesi çok kolay
bir hal almıĢtır. Theharvester gibi Backtrack iĢletim sistemi üzerinde bulunan araçlar
yardımıyla toplanan mail listelerine toplu oltalama ataklar yapılması sonucunda
hedefe çok büyük zararlar verilebilmektedir. Bu bölümde yapılan uygulammada
sahte mail hazırlanarak son kullanıcıya gönderilerek, son kullanıcının Ģifrelerine
yönelik saldırılar test edilecektir. ġekil 4.63‘te internet üzerinden sahte mail
atılabilen bir siteden atılan sahte mailin hazırlanılması gösterilmiĢtir. Sahte mail
Backtrack üzerindeki sendEmail gibi programlar vasıtasıyla da yollanabilmektedir.
Eğer hedef sistemde mail güvenliği alınmamıĢ ve kullanıcılar bilinçlendirilmemiĢ ise
bu mailin muhatabı mail kutusunda ġekil 4.63‘deki mesajı görecektir.
ġekil 4.63. Sahte mail oluĢturma
77
Maili alan son kullanıcı maili açarak, linke tıkladığında @ iĢaretinden sonra gelen
IP‘ye yönlendirilerek ġekil 4.64‘deki sahte sayfaya güdülendirilir.
ġekil 4.64. OluĢturulan sahte sayfa
Son kullanıcının kutulara yazdıkları, sosyal mühendislik aracının ekranına ġekil
4.65‘deki gibi düĢer.
ġekil 4.65. Son kullanıcının kutulara yazdıklarının ekrana düĢmesi
Kullanıcı dikkatsizliği ve email güvenliği alınmadığı için sahte mail ve oltalama
saldırısı ile Ģifreler çalınabilmektedir.
78
4.8. Kablosuz Ağ Testleri
4.8.1. WEP Ģifrelere yönelik Ģifre kırma atakları
Önceki bölümlerde anlatıldığı üzere WEP Ģifreleme algortimasında bulunan
zayıflıklardan dolayı Ģifrenin uzunluğu, karmaĢıklığı, SSID (Service Set Ġdentifier -
Servis Ġsmi Belirleyici)‘nin gizli olması MAC filtrelemenin yapılmıĢ olması gibi
hususlar WEP Ģifrelemenin kırılmasına mani olamamaktadır. AĢağıda
gerçekleĢtirilen testte gizlenmiĢ SSID bulunarak WEP Ģifreleme kırılmıĢtır.
Öncelikle paket enjekte yeteneğine sahip kablosuz ağ kart monitor moduna
alınmıĢtır. Böylece havadaki tüm kablosuz ağ trafiğinin dinlenilebilmesi mümkün
olmaktadır. Daha sonra havada iletiĢim halindeki noktalar görüntülenmiĢtir. Bu
iĢlemler ġekil 4.66‘da gösterildiği gibi yapılmıĢtır. Ancak ġekil 4.66 da güvenlik
sebebiyle MAC adresleri tam olarak gösterilmemiĢtir.
ġekil 4.66. Wlan0 arayüzünün monitor moda alınması
Bu noktadan sonra gizli SSID‘nin bulunabilmesi için eriĢim noktasına bağlı bir son
kullanıcının MAC adresi taklit edilerek, eriĢim noktasına deauthentication paketleri
gönderilmesi ile bağlantının kopartılıp tekrar kurulması sağlanmıĢ, bu esnada da
probe request ve probe responslar içerisinden broadcast SSID isimleri sniff yöntemi
ile elde edilmiĢtir. Bu iĢlemler ġekil 4.67 de gösterildiği gibi yapılmıĢtır.
79
ġekil 4.67. Havadaki kablosuz ağ sinyallerinin dinlenilmesi
Son kullanıcı yeniden bağlanmak istediği anda probe request ve probe response
paketleri gönderileceği için SSID‘lerin sniffer ile yakalanması ġekil 4.68 deki gibi
olmuĢtur.
ġekil 4.68. Gizli SSID‘nin tespiti
SSID‘nin wifi olduğu görülmüĢtür. MAC filtreleme yapılmıĢ olsaydı macchanger ile
MAC kopyalanarak bu engel de aĢılabilirdi. SSID öğrenildiğine göre bu adımdan
sonra WEP Ģifre kırılabilecektir. WEP Ģifrenin kırılabilmesi için yeteri kadar paket
toplanılması gerekmektedir. Paketlerin toplanılması ve kaydedilmesi ġekil 4.69‘da
ifade edildiği gibidir.
80
ġekil 4.69. Kablosuz ağda paket toplama
ġekil 4.69‘da ariodump aracı ile hava dinlenilmiĢ, aireplay aracı ile eriĢim noktasına
paket enjekte edilmiĢ, sahte doğrulma paketleri gönderilmiĢtir. WEP parolanın
kıralabilmesi için yaklaĢık olarak 20.000 civarında paket toplanılması gerekmektedir.
Ayrıca paket toplanırken paket toplama hızının arttırılarak Ģifrenin daha kısa sürede
kırılması için eriĢim noktasına paket enjekte edilmiĢtir. Yeteri kadar paket
toplanıldığında ise aircrak gibi araçlar ile parola ġekil 4.70‘de gösterildiği gibi
kırılmıĢtır.
81
ġekil 4.70. Kablosuz ağ Ģifresinin kırılması
4.8.2. WPA2 Ģifrelemeye yönelik yapılan ataklar
WPA ve WPA2 formatındaki Ģifreler rainbow atak yöntemi ile kırılabilmektedirler.
Rainbow yöntemi kullanılırken, parola listesine ve WPA el sıkıĢmasına sahip
olunması gerekmektedir. Parola listesi ne kadar uzun ve hedefe uygun ise saldırının
baĢarı yüzdesi o kadar yüksek olmaktadır. WPA Ģifrelere yapılan ataklarda amaç ―el
sıkıĢma‖nın yakalanarak rainbow atakta kullanılması ile Ģifrenin kırılmasıdır.
Buradaki önemli nokta kırılması gereken Ģifrenin atak yapan kiĢinin elindeki
sözlükte yer almasıdır. Eğer atak yapan kiĢinin elindeki listede bu Ģifre yoksa aĢağıda
yapılan uygulama baĢarısız olacaktır. ġekil 4.71‘de gösterilmiĢ olan uygulamada
kolay seçilen yaygın Ģifrelerin nasıl kırılacağı gösterilmiĢtir.
82
ġekil 4.71. WPA2 Ģifresinin kırılması
4.8.3. Sahte eriĢim noktası oluĢturularak son kullanıcılara yapılan ataklar
Bu bölümde yapılan test kapsamında, kablolu bağlantının bilgisayar ile köprü
bağlantıya dönüĢtürülerek nasıl sahte eriĢim noktası oluĢturduğu gösterilmektedir.
Söz konusu atak yapılarak son kullanıcılar hedef alınabilir. Bu ağa dahil olan son
kullanıcının tüm trafiği atak yapan kiĢi üzerinden geçer. Son kullanıcıya oltalama
yöntemi ile update uygulaması yükleniyormuĢ gibi kötü amaçlı yazılımlar
yüklenilebilir. Son kullanıcı dnsspoofing ile istenilen yere yönlendirilebilir. Daha da
tehlikelisi kapalı bir ağ yapısında kablosuz ağ ile arka kapı açmak için de
kullanılabilir. Sahte eriĢim noktası ġekil 4.72‘de gösterildiği gibi yapılandırılmıĢtır.
83
ġekil 4.72. Sahte eriĢim noktası oluĢturma
ġekil 4.72‘de oluĢturulan sahte eriĢim noktasına bağlanan son kullanıcının tüm trafiği
görülebilir. ġekil 4.73‘de gösterildiği gibi sahte bir sayfa hazırlanarak internete
çıkmak istediği anda sahte sayfaya yönlendirilebilir. Bu atak ile internete kapalı
güvenli yapılarda gerekli önlemler alınmadığı zaman, kablosuz ağ yayını yapılarak
arka kapı açılabilir. ġekil 4.73‘te sahte sayfanın index sayfası hazırlanmıĢ daha sonra
web sunucu üzerine yerleĢtirilmiĢ, dnsspoofing yöntemi ile eriĢim noktasının
yayınladığı kablosuz ağa dâhil olan son kullanıcıların bu sayfaya yönlendirilmesi
sağlanmıĢtır. Kablosuz ağa bağlanan son kullanıcı bağlantı yaptığı an atak yapan
kiĢinin konsolunda ġekil 4.73‘deki gibi gözükmüĢtür.
ġekil 4.73. Sahte eriĢim noktası üzereinden DNS aldatmacası
84
4.9. Son Kullanıcılara Gönderilen Virüs Arka Kapı Testleri
Bu bölümde son kullanıcıya yollanmıĢ truva atı, kötü amaçlı yazılımların
verebileceği zararlar incelenerek sonuçları gösterilmiĢtir. Bu uygulamada windows
için binary payload kodu hazırlanarak Apache içerisindeki bir dizine konulmuĢ,
sosyal mühendislik mail gibi yollarla karĢı tarafta çalıĢtırılması sağlanılarak hedef
sisteme eriĢim sağlanmıĢtır. Sızma testi yapacak kiĢinin IP adresi 192.168.2.160
olsun. Ġlk adımda binary truva atı oluĢturulacak daha sonra Apache web sunucuda
konumlandırılarak kurbanın bu dosyayı indirerek çalıĢtırması sağlanılacaktır.
―pentest.exe‖ binary payload olarak üretilerek web sunucuın dosyalarının bulunduğu
/var/www dizini altına gönderilmiĢtir. Atak yapan kiĢi kendi üzerinde 4444 portunu
dinlemeye almıĢtır. Bunun nedeni oluĢturulan virüsün hedef makinada açıldığı
zaman geri dönerek sızma testi yapan kiĢinin dinleme noktasına bağlantı kurmasıdır.
ġekil 4.74‘de zararlı kod üretilerek web sunucu üzerine konumlandırılmıĢ daha
sonrada exploit/multi/handler kullanılarak dinleme noktası oluĢturulmuĢtur.
ġekil 4.74. Windows ortamı için truva atı hazırlanması ve sistemi ele geçirme
http://192.168.1.160/pentest.exe linkini tıklayarak çalıĢtıran son kullanıcı ile bağlantı
sağlanmıĢtır. Son kullanıcıya bu dosya çeĢitli sosyal mühendislik atakları ile
85
çalıĢtırılabilmektedir. Son kullanıcı bu dosyayı çalıĢtırdığı zaman, hedef sistemin
konsoluna eriĢim ġekil 4.75 teki gibi sağlanmıĢtır. Hedef sisteme masaüstü eriĢimi,
telnet eriĢimi, kalıcı arka kapı ile eriĢim için güvenlik duvarı, devre dıĢı bırakılmıĢ
servisler uzaktan kurularak, kurulu olan fakat çalıĢmayan servisler ise konsol
ekranında registery bitleri ile oynanarak servisler etkin hale getirilmiĢtir. ġekil
4.75‘de üzerinde telnet sunucu kurulu olmayan bir sisteme konsoldan eriĢim
sağlanmıĢ, uzaktan telnet sunucu kurulmuĢ, güvenlik duvarı baypas edilmiĢ ve sistem
üzerinde yeni kullanıcılar oluĢturulmuĢtur.
ġekil 4.75. Ele geçirilen sistemde ilerleme
86
Artık güvenlik duvarı 192.168.2.160 IP adresinden gelen telnet bağlantılarına
koĢulsuz izin verecektir. Görüldüğü gibi hedefe baĢarıyla bağlanılmıĢtır. Aynı sistem
üzerinde uzak masaüstü bağlantısı kurulmak istenilirse ġekil 4.76‘da gösterilmiĢ olan
kodların uzak makina üzerinde ġekil 4.76‘da gösterildiği gibi uygulanması
gerekmektedir. Öncelikle uzak masaüstü servisinin çalıĢıp çalıĢmadığı kontrol
edilmelidir. Eğer çalıĢmıyor, yani durdurulmuĢ halde ise etkinleĢtirilmesi
gerekmektedir. ġekil 4.76‘da gösterilen uygulamada servisin çalıĢıp çalıĢmadığı
sorgulanmıĢ, makinanın kayıt bitleri değiĢtirilmiĢ ve uzak masa üstü bağlantı servisi
etkin hale getirilmiĢtir. Daha sonra uzak masaüstü bağlantısı için kullanılan 3389
portu güvenlik duvarı üzerinde açılarak hedef sisteme eriĢim sağlanmıĢtır.
ġekil 4.76. Ele geçirilen sistemde uzak masaüstü bağlantısını aktif hale getirme
Meterpreter üzerinde run vnc komutu kullanıldığı zaman otomatik olarak uzak masa
üstü bağlantı açma iĢlemi yapılmıĢtır. EriĢim sağlanılan uzak masa görüntüsü ġekil
4.77‘de görüldüğü gibi gerçekleĢmiĢtir.
87
ġekil 4.77. Hedef sisteme yapılan masa üstü bağlantısı
4.10. Güvenlık Duvarı Kurallarını Atlatmak
Katman 4 seviyesinde denetleme yapılan güvenlik duvarları güvenlik açısından
yetersiz kalmaktadırlar. Bu bölümde yapılan uygulamalar ile ters tünelleme, port
yönlendirme gibi teknikler kullanılarak güvenlik duvarı kuralları atlatılmıĢ ve
―sadece katman 4 bazında yapılan denetleme yetersizdir‖ olgusu ıspatlanmıĢtır.
4.10.1. Port yönlendirme ile güvenlik duvarı atlatma uygulaması
Senaryo gereği Iptables kullanılarak oluĢturulmuĢ simülasyon ortamında amaç belli
bir siteye giden isteklerin engellenmesidir. Bu test bu kısıtlamanın port yönlendirme
yapılarak nasıl aĢılacağını göstermektedir. Bu bağlamda yasaklı bağlantıya
eriĢemeyen makina baĢka bir makina üzerinden port yönlendirmesi yaparak
yasaklanan hedefe ulaĢabilmiĢtir. KurulmuĢ olan ağ üzerinde, 192.168.2.235 IP
adresine sahip makina tarafından 192.168.2.209 adresine yapılan http istekleri
engellenmektedir. Bu yüzden 192.168.2.42 IP adresli makina üzreinden port
yönlendirme yapılarak hedefe ulaĢmak amaçlanmıĢtır. 192.168.2.42 IP adresli
makina üzerinde port yönlendirme etkin hale getirilmeli gerekli konfigürasyon
yapılmalıdır. Bu konfigürasyon Backtrack iĢletim sistemi içinde yer alan
/etc/rinetd.conf dosyası içerisinde ġekil 4.78‘de gösterildiği gibi yapılmıĢtır.
88
ġekil 4.78 /etc/rinetd.conf dosyası konfigürasyonu
Gerekli konfigürasyon yapıldıktan sonra ―# /etc/init.d/rinetd start‖, komutu ile
servisin çalıĢması sağlanmıĢ ve bu komutlar ile port yönlendiren bilgisayar üzerinden
yasaklı siteye eriĢim sağlanabilmiĢtir. 192.168.2.42 IP adresli bilgisayardan
192.168.2.235:1234 bağlantısı yapıldığında bu makina, gelen bağlantıyı
192.168.2.209:80 adresine yönlendirerek, kuralların yasakladığı adrese eriĢim
sağlanmaktadır.
4.10.2. Http tünelleme yöntemi
Http yöntemi kullanılarak http üzerinden bir proxy sunucuya bağlanılarak gidilmek
istenilen sunucuya proxy ile http üzerinden gidilmesi ile mümkün olmuĢtur. ġekil
4.79‘daki Ģekilde görüldüğü gibi bir uygulamanın yapılabilmesi mümkündür. Bu
senaryoda netcat arka kapı programından yararlanılarak proxy hizmeti veren sunucu
üzerinden hedefe bağlantı sağlanmıĢtır.
89
ġekil 4.79. Http üzerinden tünelleme senaryosu
4.10.3. SSH tünelleme testi ile güvenlık duvarı atlatma
Bu uygulamada senaryo gereği, içeriden dıĢarıya 443. portu ve 4444. portu dıĢında
tüm portları kapalı statefull çalıĢan bir güvenlik duvarından, içerideki kullanıcının
çalıĢtırmıĢ olduğu sahte antivirüs görünümündeki programdan kaynaklanan bağlantı
içerisinden SSH tünelleme yapılarak, trafik denetlenemez hale getirilerek, güvenlik
duvarının 3389 portu kapalı olmasına rağmen, güvenlik duvarı arkasındaki son
kullanıcıya SSH tüneli içerisinden RDP (Remote Desktop Protokol - Uzak Masaüstü
Bağlantı Protokolü) oturumu kurulmuĢtur. Bu test yerel ağ ortamında yapıldığı için
güvenlik duvarında NAT (Network adress translation - Ağ Adres Çevirimi) iĢlemi
yoktur. Fakat güvenlik duvarı üzerinde nat iĢlemi yapılsa dahi ters tünellme yöntemi
kullanılacağı için atak baĢarılı olacaktır. Öncelikle son kullanıcıya mail, oltalama
gibi yollarla gönderilen binary truva atı ve dinleme noktası ġekil 4.80‘daki gibi
oluĢturulmuĢtur.
90
ġekil 4.80 Windows ortamında çalıĢan truva atı oluĢturulması
Truva atını virüs tarama programı zanneden son kullanıcı programı çalıĢtırdığında
oturum açılmıĢtır. Bu noktadan sonra 443. port içerisinden tersine SSH tünel
oluĢturulmuĢ ve bu tünelin içerisinden RDP oturumu açılarak uygulama yapılmıĢtır.
ġekil 4.81 ‗deki komutlar bu uygulamının yapılması için kullanılmıĢtır. Atak yapan
dıĢarıdaki makina üzerinde kendi SSH sunucusunu oluĢturarak mail yoluyla truva atı
yolladığı makinadan kendisine SSH bağlantısı kurdurarak, kurdurduğu SSH
bağlantısının içerisinden de port yönlendirme yaparak kendisine gelen tüm RDP
isteklerini SSH tünel içerisinden hedef makinaya yönlendirerek güvenlik duvarında
hem nat uygulamasını hem de 3389. portun kapalı olması durumlarını atlatmıĢtır.
Atak yapan kiĢi kendi üzerinden, güvenlik duvarı sadece içeriden dıĢarıya 443. ve
4444. porttan akan trafiğe izin verdiği için, 443. portundan hizmet veren bir SSH
sunucu oluĢturur. Bunun nedeni kabuk eriĢimi sağladığı makinadan kendisine tersine
SSH bağlantısı açmak istemesidir. Buradaki kurguda mail hizmeti veren servisin
4444. porttan çalıĢtığı farz edilmektedir. SSH sunucu ġekil 4.81‘deki gibi kurularak,
ġekil 4.81‘deki komutlar üzerinden tersine tünel açılmıĢtır. ġekil 4.81‘de Backtrack
iĢletim sistemindeki /etc/ssh/sshd_config dosyası açılarak 443. bağlantı noktasından
hizmet verecek Ģekilde yapılandırılmıĢ daha sonra /etc/init.d/ssh start komutu ile SSH
91
sunucu etkinleĢtirilmiĢtir. Ardından arayüz Ģekli putty olarak bilinen Plink programı
meterpreter kullanılarak hedef sisteme yüklenmiĢ ve hedef sistemden, atak yapan
kiĢinin yapılandırmıĢ olduğu SSH sunucuya Plink kullanılarak tünelli SSH bağlantısı
yapılmıĢtır. Yapılan bağlantı içerisinde atak yapan kiĢinin 3389 portu hedef
makinanın 3389 portuna yönlendirilerek, nat ve uzak masaüstü bağlantı noktasının
(port) kapalı olması gibi engeller aĢılmıĢtır. Bu noktadan sonra uzak masa üstü
bağlantısı SSH tünel içerisinden yapılarak trafiğin güvenlik duvarı tarafından
denetlenmesi engellenmiĢtir. Bu testte SSH yerine trafik SSL kulanılarak da
denetlenemez hale getirilmiĢtir.
ġekil 4.81. Plink ile SSH sunucuya ters tünelleme
4.10.4. IP aldatmacası yöntemi ile eriĢim izinlerinin aĢılması
EriĢim listeleri kullanılarak hangi bağlantı noktalarından hangi IP adreslerinin
bağlantı yapacağı belirlenebilir. Bu uygulamada UDP bağlantı noktasından eriĢim
izninin sadece 192.168.2.1 IP adresine tanımlandığı bir senaryoda IP aldatmacası
yapılarak sisteme eriĢim sağlanılmaktadır. 192.168.2.1 özel IP olduğu için bu IP çok
kolay taklit edilebilmektedir. Fakat burada uygulanan yöntem internetteki gerçek
92
(public) IP adresleri kullanılarak da yapılabilmektedir. Buradaki asıl önemli olan
konu UDP üzerinden çalıĢan servislerde IP aldatmacası yapılabildiğidir. UDP
portları ile çalıĢan uygulamalarda TCP‘deki gibi üçlü elsıkıĢma ile kontrol
mekanizması olmadığı için IP aldatmacasının yapılması mümkündür. Port tarama
yöntemi ile açık olan UDP 1985 bağlantı noktası bulunmuĢtur. Bu sonuçlardan yola
çıkılarak hedef bilgisayarda aĢağıdaki gibi bir komutun çalıĢtırıldığı tahmin
edilmektedir:
―#ncat --allow 192.168.2.1 -u -l 1985 -v -c /bin/bash –k‖.
Bu komut ile sadece udp 1985. porta 192.168.2.1 IP adresinden gelen isteklere cevap
verilecektir. Buradaki açıklığı istismar edebilmek için ġekil 4.82‘de gösterildiği gibi
hping3 aracı kullanılarak, üzerine komut yazılmıĢ ufak bir dosya, hedefe komutları
çalıĢtırması için gönderilmiĢtir. Dosyanın içerisinde SBD (Secure Backdoor -
Güvenli Arka Kapı)‘nin kullanılmasıyla Ģifreli arka kapı açılmasını sağlayan kodlar
yazılmıĢtır. Daha sonra oluĢturulan dosya hping3 aracı sayesinde hedefe IP
aldatmaca yapılarak gönderilmiĢtir. ―backdoor.txt‖ dosyasında, karĢı tarafta TLS
(Transport Layer Security - TaĢıma Güvenlik Katmanı) protokolünü kullanarak Ģifre
ile Ģifreli haberleĢme sağlayan SBD arka kapı programının çalıĢtırılmasını
tetikleyecek komutlar vardır. ġekil 4.82‘de de görüldüğü gibi arka kapı secret
parolası ile çalıĢmaya baĢlamıĢtır. Bu açıklığın istismarındaki son adım ise ġekil
4.82‘de görüldüğü gibi arka kapı üzerinden hedef sistemi ele geçirmektir. Hedef
sistem 1234. portu üzerinden elegeçirilmiĢtir. Yönetici yetkisi ile karĢıdaki sisteme
eriĢim sağlanmıĢtır.
ġekil 4.82. Hedef sistemde çalıĢtırılacak kodların oluĢturulması
93
4.11. WEB uygulama testleri
Bu bölümde DVWA (Damn Vulnerable Web Application - Zafiyet Barındıran Web
Uygulaması) ve OWASP (Open Web Application Security Project - Açık Web
Uygulama Güvenlik Projesi) tarafından hazırlanmıĢ WebGoat simülasyonları
kullanılarak web uygulamalarında sıklıkla karĢılaĢılan açıklıklar test edilmiĢtir.
4.11.1. DWVA WEB güvenlik testleri
4.11.1.1. Brute force yöntemi
Brute force yöntemi deneme yanılma yöntemi ile parolaların elde edilmesidir.
Gerekse sözlük ataklarda, gerekse deneme yanılma ile yapılan ataklarda, son
kullanıcıların doğum tarihleri, tuttukları takım, akraba isimleri, kendi isimleri ile Ģifre
oluĢturmaması gerekmekte, unutulan Ģifrelerin hatırlatılması hususunda sorulan
soruların cevaplarını dikkatli olarak seçmeleri gerekmektedir. ġekil 4.83‘de kullanıcı
adı, admin parolası password olarak belirlenmiĢ, giriĢ hesabının tahmin yoluyla
aĢılması örneklenmiĢtir. Bu atak sonunda hesaba eriĢim sağlanmıĢtır.
ġekil 4.83. GiriĢ sayfası
4.11.1.2. Komut yürütme atağı
AĢağıdaki kodlar analiz edildiğinde sistemde çalıĢtırılması gerekenden daha fazla
kodun çalıĢtırılabildiği gözlemlenmiĢtir:
―<?php
if( isset( $_POST[ 'submit' ] ) )
{
94
$target = $_REQUEST[ 'ip' ];
if (stristr(php_uname('s'), 'Windows NT')){
$cmd = shell_exec( 'ping ' . $target ); echo '<pre>'.$cmd.'</pre>' } else {
$cmd = shell_exec( 'ping -c 3 ' . $target ); echo '<pre>'.$cmd.'</pre>'; }?>‖.
Bu kodların analizinden yararlanılarak bu açıklık ġekil 4.84 ‗deki gibi istismar
edilmiĢtir. ġekil 4.84‘de görüldüğü gibi ps komutu uzaktan çalıĢtırılabilmektedir.
ġekil 4.84. Komut çalıĢtırma
4.11.1.3. Csrf açıklığı istismarı
Uygulama kodları ġekil 4.85‘daki gibidir. Kodlar inclendiği zaman uygulamanın
üzerinde csrf açıklığı tespit edilmiĢtir.
ġekil 4.85. CSRF açıklığı barındıran kod kümesi
95
Bu açıklık, uygulama kodlarının ġekil 4.86‘deki gibi değiĢtirilmesiyle, oluĢturulan
fromun son kullanıcılara yollanılarak Ģifrelerenin değiĢtirilmesi için istismar
edilmiĢtir. ġekil 4.86‘de gösterilen URL kısımında csrf.htm?‘den sonraki yere zararlı
kodlar, yine ġekil 4.86‘de gösterilen form içerisinde value kodları eklenerek
hazırlanmıĢtır. OluĢturulan form link yoluyla son kullanıcılara gönderilerek admin
kullanıcısının Ģifresinin değiĢtirilmesi sağlanmıĢtır. Atak yapacak kiĢinin hazırlamıĢ
olduğu linke tıklandığı anda admin Ģifresi admin olarak değiĢmiĢtir.
ġekil 4.86. Csrf açıklığının istismarı
4.11.1.4. Dosya yükleme açıklığı
Uygulamada görülen include.php kısmından uygulamaya dosya yüklenebileceği
anlaĢılmaktadır. Bu açıklığın istismarında /etc/passwd dosyası yüklenilerek
uygulama ġekil 4.87‘de gösterildiği gibi yapılmıĢtır.
96
ġekil 4.87. Dosya yükleme
4.11.1.5. SQL injection açıklığı
Bu bölümde veritabanındaki açıklıklar incelenmektedir. Ġlk olarak elle deneme
yaplarak, ― ‗ or 1 = 1 # admin‘ or 1 =‘1 ― gibi mantıksal ifadeler denenmiĢ, sayfada
SQL injection olduğu ġekil 4.88‘daki gibi tespit edilmiĢtir. Daha sonra ġekil 4.88‘da
görüldüğü gibi firefox tamperdata aracı ile cookie bilgileri alınarak, sqlmap aracı ile
tüm veritabanı çekilmiĢtir.
ġekil 4.88. SQL injection saldırısı
97
Bu iĢlemlerden sonra veritabanları ġekil 4.89‘de görüldüğü gibi elde edilmiĢtir.
ġekil 4.89. SQL injection saldırısı ile ele geçirilen veri tabanları
4.11.1.6. Stored XSS açıklık incelemesi
ġekil 4.90‘de kaynak kodları incelenen uygulamada, bulunan XSS açıklıkları, anılan
Ģekilde gösterildiği gibi script ve alert kodları kullanılarak istismar edilmiĢtir.
98
ġekil 4.90. Stored XSS açıklığı bulunduran kodların istismarı
4.11.1.7. Reflected XSS açıklık uygulaması
Bu uygulamada reflected XSS açıklığından yararlanılarak son kullanıcının, ―<script>
window.location=‖http://192.168.1.5/― </script>‖, kodunun, açığın bulunduğu yere
gömülmesiyle ġekil 4.91‘de gösterildiği gibi atak yapan kiĢi tarafından hazırlanmıĢ
siteye yönlendirilmesi ele alınmıĢtır. Son kullanıcı submit düğmesine bastığı anda
ġekil 4.91‘de gösterilen sayfaya yönlendirilmiĢtir.
99
ġekil 4.91. Reflected XSS açıklığının istismarı
4.11.2. Webgoat üzerinde yapılan güvenlik testleri
4.11.2.1. EriĢim kontrol açıklıklıkları
EriĢim kontrollü açıklıklar, uygulamaların yazılma aĢamasında gerekli kontrollerin
yapılmamasından dolayı meydana gelmektedir. Bu açıklıklar değiĢik biçimlerde
ortaya çıkabilmektedirler. Bu açıklıklar aĢağıda uygulanan testler ile gösterilmiĢtir.
Rol tabanlı eriĢim kontrol açıklıklarında, eriĢim kontrollerindeki zafiyetlerden
meydana gelebilecek açıklıklar incelenerek, bu açıklıklar test edilmiĢtir. Uygulama
100
senaryosunda, Tom sıradan bir kullanıcıdır. Tom diğer kullanıcıların profillerini
görüntüleyememektedir. Bu testteki amaç, Tom olarak login olmak ve diğer
kullanıcıların profillerini zafiyetlerden yararlanarak görüntüleyebilmektir. ġekil
4.92‘te görüldüğü üzere önce Tom olarak hesaba giriĢ yapılmıĢtır. Sonraki
aĢamalarda ID numarasına göre izinlerin düzenlendiği anlaĢılmıĢ, burp aracı ile Tom
tarafından gönderilen istekler değiĢtirilerek admin kullanıcısının ID numarası ile
Tom kullanıcısının ID numarası değiĢtirilerek yetkisiz eriĢim sağlanmıĢtır.
Uygulamnın detayları ġekil 4.92‘de gösterildiği gibidir.
ġekil 4.92. ID numaralarının değiĢtirilmesi
EriĢimin sağlandığı, ġekil 4.93‘te görülmektedir. Tom Larry‘nin profilini yetkisiz bir
Ģekilde görüntüleyebilmiĢtir.
101
ġekil 4.93. Yasaklı hesaba eriĢim
Çoklu seviyede eriĢim açıklıkları, tekrarlanabilen eriĢim bilgilerinin kullanılmasıyla
istismar edilebilmektedir. Bu açıklıkların test edilebilmesi açısından simülasyonda
verilen senaryo dahilinde yetkisiz eriĢim testleri yapılmıĢtır. Bu senaryoya göre,
oltalama yöntemi ile bilgileri alınan Jane kullanıcısı adına giriĢ yapılmak isteniyor.
Buradaki problem 15648 olan tan1 numarasının kullanılmıĢ olması ve tan2
numarasının bilinmemesidir. Atak yapan kiĢi eriĢim açıklığını ġekil 4.94‘te
gösterildiği gibi istismar etmiĢtir.
102
ġekil 4.94. Tan numaralarının Burp ile değiĢtirilmesi
Gönderilen istek burp ile ġekil 4.94‘deki gibi manipüle edildiğinde hesaba eriĢim
sağlanmıĢtır. Jane‘in hesabına eski tan numarası kullanılarak ulaĢılmıĢ bu açıklık
istismar edilmiĢtir.
Bir baĢka senaryoda ise gerçek bir kullanıcı hesabına sahip bir kullanıcı eriĢim
kontrolündeki zafiyetlerden faydalanarak Jane‘in hesabına eriĢmiĢtir. GiriĢ adı John
Ģifresi banana olan kullanıcı aĢağıdaki gibi Jane‘in hesabına ġekil 4.95‗da
gösterildiği gibi yetkisiz giriĢ yapabilmiĢtir. Ġsim değiĢtirildiğinde kontrol
eriĢimindeki zafiyetten dolayı atak yapan kiĢi yetkisiz eriĢim sağlayabilmiĢtir.
AĢağıda atak yapan kiĢinin eriĢtiği sayfa gösterilmiĢtir.
103
ġekil 4.95. Saklı kullanıcıların isimlerinin Burp ile değiĢtirilmesi
4.11.2.2. Dom tabanlı açıklıklar
Dom tabanlı açıklıklar kullanılarak XSS saldırıları, web sitelerinin görünümlerinin
değiĢtirilmesi gibi ataklar yapılabilmektedir. Bu bölümde dom saldırıları yapılan
testlerle incelenmiĢtir.
Ġlk senaryoda gerekli filtrelemeler yapılmadığı için kod enjekte edilebilmekte olan
web sayfasına, enjekte edilen kod ile resim yüklenilecektir. Bu uygulamada ―<img
src=‖images/logos/owasp.jpg‖/>‖, kodu kullanılarak ġekil 4.96‘deki gibi sayfaya
resim yüklenmiĢtir.
104
ġekil 4.96. Sayfaya resim yüklenilmesi
Aynı açıklık ġekil 4.97‘de gösterildiği gibi ―<img src=x onerror=;;alert(‗XSS
VULN‘)/>‖, kodu kullanıllarak, x adlı bir resim dosyası olmadığı için hata verilecek,
hata durumunda ise ―onerror=;; ―, kod kısmındaki alert komutu çalıĢtırılacaktır.
ġekil 4.97. XSS açıklığı
Aynı açıklık bu uygulama ―<iframe src=‖javascript:alert(‗XSS‘);‖></iframe>
iframe‖, kodu ile test edilmiĢtir. Bu kodun çalıĢtırılması halinde uygulamanın tepkisi
ġekil 4.98 ‗daki gibi olmuĢtur.
ġekil 4.98. Iframe kodu ile test edilmesi halinde XSS açıklığı
105
ġekil 4.98‘da görüldüğü üzere sayfa XSS açıklığı barındırmaktadır. Aynı açıklıktan
yararlanılarak aĢağıdaki kodlar ile sahte login sayfası oluĢturulmuĢtur.
―<h1>Lütfen parolanızı giriniz:<br><input type=‖password‖ name=‖parola ‖><
buttononClick=‖javascript:alert(‗parolan:‘ + parola.value);‖>submit </buton ><br>‖,
kodu ilgili yere yazıldıktan sonra ġekil 4.99‘ daki resimde gösterilen fake login
sayfası eklenmiĢ, submit butonuna basıldığında son kullanıcının yazdığı parola
ekrana gelmiĢtir.
ġekil 4.99. XSS açıklığından yararlanılarak sahte login sayfası oluĢturulması
Açıklık istismar edilerek sahte login kısmından parola görüntülenmiĢtir. Bu
uygulamadaki açıklıkların kapatılabilmesi için aĢağıdaki kodların değiĢtirilmesi
gerekmektedir:
―function displayGreeting(name)
{if (name != ''){
document.getElementById("greeting").innerHTML="Hello, " + name + "!";
}
}
Yukarıdaki kodlar aĢağıdaki kodlar ile değiĢtirilmelidir;
function displayGreeting(name) {
if (name != ''){
document.getElementById("greeting").innerHTML="Hello, " +
escapeHTML(name); + "!";
}
}‖.
106
4.11.2.3. XML injectıon tekniği ile web açıklıklarının istismar edilmesi
Bu uygulamada XML‘den kaynaklanan güvenlik açıklıkları istismar edilerek,
senaryo gereğince sadece 100 pts‘lik hediye alabilen kullanıcı, çok daha yüksek pts
değerlerine sahip hediyeleri alabilmektedir. Atak yapan kiĢi istediği hediyeleri, ġekil
4.100‘deki gibi seçtikten sonra, burp ile araya girerek ürün kodlarını değiĢtirmek
suretiyle fazlasıyla alabilmiĢtir. Uygulama ġekil 4.100‘de gösterildiği gibi
yapılmıĢtır. Atak yapan kiĢi istekleri keserek istekler üzerinde yaptığı oynamalar ile
daha yüksek pts değerlerine sahip hediyeleri alabilmiĢtir.
ġekil 4.100. XML injection yönteminin burp aracı ile uygulanması
107
4.11.2.4. Eval kodunun tehlikeli kullanımı
Bu uygulamada text kutusuna yazılan yazıların dinamik kod olarak çalıĢtırılmasını
sağlayan eval kodundan kaynaklanan açıklık istismar edilerek test yapılmıĢtır. ġekil
4.101‘de evalden kaynaklanan zafiyetin bulunduğu yer yeĢil kutu ile
gösterilmektedir. YeĢil kutu içerisine yazılan kod eval sayesinde çalıĢtırılacaktır.
Buradaki problem digit code bölümüne yazılabilen karakter sayısının sınırlı
olmasıdır. Bu engel burp ile aĢılmıĢtır. ġekil 4.101‘de gösterildiği üzere burp ile
araya girilerek istenilen kodlar ilgili yere yazılmıĢ açıklık istismar edilmiĢtir.
ġekil 4.101. Eval açıklığının kullanılması
Kod enjekte edildikten sonra sonuç ġekil 4.102‘de gösterildiği gibi olmuĢtur.
108
ġekil 4.102. Eval açıklığının istismar edilmesi
4.12. Servis DıĢı Bırakma (DOS) Atak Testleri
DOS saldırıları çok fazla teknik bilgiye sahip olmadan yapılabilen, siyasi,
cansıkıntısı, mali zarar verme gibi nedenlerle yapılan, son yıllarda devletlerarası
savaĢ aracı olarak kullanılan bir saldırı çeĢididir. Ġnternet servis sağlayıcı tarafında
alınan önlemler ile servis dıĢı bırakma saldırıları daha servis sağlayıcıdan geçerken
kesilmesi gerekmektedir.
4.12.1. SYN flood testi
SYN food testinde hedefe sürekli SYN paketleri yollanılarak bant geniĢliğinin
doldurulması, CPU değerlerinin artması, state tablosunun doldurulması
hedeflenmektedir. Stres testi yapılması için hedefin açık portları bulunarak açık olan
bir porttan açık olan bir servis keĢfedilerek o servise atak yapılabilir. Bu kanıdan
yola çıkılarak hedef sisteme port taraması yapıldığında ġekil 4.103‘ te gösterilen
sonuçlar elde edilmiĢtir. Ayrıca ġekil 4.103‘te hping3 aracı ile yapılan DOS saldırısı
sonucunda atak yapılan cihazın CPU değerinin % 97 seviyesine çıktığı görülmüĢtür.
109
ġekil 4.103. SYN saldırısı sonucu routerın CPU değeri
4.12.2. UDP flood testi
Bu uygulamada hedef sistem üzerinde port taraması yapılmıĢ, 53. portundan DNS
hizmeti verdiği saptanmıĢtır. DNS hedef alınarak UDP flood atağı ġekil 4.104‘te
gösterildiği gibi yapılmıĢtır. 53. porta yağdırılan UDP paketleri ile DNS cevap
veremez hale gelmiĢtir.
ġekil 4.104. UDP servis dıĢı bırakma saldırısı
4.12.3. ICMP flood testi
Hedef sisteme sürekli olarak boyutu büyük olan ping paketleri gönderilerek hedefin
eriĢebilirliğinin engellemesini amaçlayan saldırı tipidir. Atak hping3 aracı ile
baĢlatılmıĢ ve ġekil 4.105‘da atak kodları, paket görüntüleri, CPU kullanımı
gösterilmiĢtir. ICMP paketleri bant geniĢliğini doldurarak sistemin hizmet vermesini
durdurma noktasında getirmiĢtir. Sistem atak baĢladıktan belli bir süre sonra isteklere
110
cevap veremez hale gelmiĢtir. Sistem belirli bir süre kilitlenmiĢ atak durdulduktan
sonra yeniden normal çalıĢmaya baĢlamıĢtır.
ġekil 4.105 ICMP üzerinden yapılan servis dıĢı bırakma saldırısı
111
5. ARAġTIRMA BULGULARI VE TARTIġMA
5.1. Sızma Testlerinin Değerlendirilmesi Ġçin Örnek Uygulama Senaryosu
Bu çalıĢmada yapılan atakların test edilebilmesi için değiĢik Ģekillerde ağ yapıları
kurgulanmıĢtır. Ağ yapıları, Cisco Catalyst 2950 tipi layer 2 switch, Airties
yönetilemeyen switch, Airties Air 4410 eriĢim noktası (access point), Alfa
AWUS036H model kablosuz ağ kartı, pfsense yüklenerek güvenlik duvarı haline
getirlmiĢ HP laptop, üç tane usb‘den ethernete çevirici slink marka dönüĢtürücü,
Vmware sanallaĢtırma ortamı, Digitus konsol kablosu, GNS3 simülasyon programı,
dört laptop, Windows xp, Windows sunucu 2003, Windows 7, Windows 8, Kali,
Ubuntu, Backtrack linux dağıtımları, Metasploitable Linux, Dvwa, Webgoat web
simülasyon programları kullanılarak oluĢturulmuĢtur. Ağ üzerinde çeĢitli atak
senaryolarının uygulanmaları yapılmıĢtır. ġekil 5.1‘de uygulamaların yapıldığı
sistem gösterilmiĢtir.
ġekil 5.1. Kurgulanan ağ yapıları
112
ġekil 5.2‘de ise aynı sistem çizim programı ile çizilmiĢ ağ toplojisi çıkartılmıĢtır.
ġekil 5.2. Kurgulanan ağın topolojisi
Uygulamaların yapılabilmesi için kurulan ağda pfsense üzerinde alt arayüzler
oluĢturularak, üzerinde VLAN 1 ve VLAN 10 yapılandırılan cisco switch ile dot1q
protokolü kullanılarak trunk yapı oluĢturulmuĢtur. Güvenlik duvarının baĢka bir
arayüzüne yönetilemeyen airties switch takılmıĢtır. Diğer arayüzüne airties eriĢim
noktası takılmıĢtır. Internete eriĢim sağlanılabilmesi için modemle bağlantısı
yapılmıĢtır. SanallaĢtırma ortamından yararlanılarak sunucu 2003, metasploitable,
windows Xp, 7, 8 sanal olarak kurulmuĢtur. Backtrack ve Kali iĢletim sistemleri atak
yapmak için kullanılmıĢtır. Güvenlik duvarı üzerinde paket yönlendirmesi (routing)
iĢlemi yapılmıĢtır. Apache web sunucu, tftp, ftp, telnet, rdp ve ssh sunucular test için
kurulmuĢtur.
5.2. Sızma Testleri Sonucu Alınması Gereken Önlemler
5.2.1. Bulgular
Bilgisayar güvenliği konusunda ülkemizde görülen uygulama eksikliği üzerine,
uygulamalarla siber güvenlik farkındalığının oluĢturulması amacıyla kurulan kapalı
ağda yapılan testler sonucunda çok önemli bulgulara ulaĢılmıĢtır. Fiziksel eriĢim
konusunda, gerekli güvenlik önlemlerinin alınmadığı ortamlarda, Ģifrelerin,
bilgisayara fiziksel eriĢim sağlandığı anda kolay bir Ģekilde etkisiz hale getirildiği
113
gözlemlenmiĢtir. Yerel ağlarda eksik yapılan konfigürasyonlardan, çoğu zaman ise
yapılmayan güvenlik konfigürasyonlarından dolayı, yerel ağ trafiğinde araya
girilebildiği, hassas bilgilerin çalınabildiği, DNS aldatmacası ve oltalama ataklarının
yapılmasıyla son kullanıcının Ģifre ve hesap bilgilerinin çalınabildiği
gözlemlenmiĢtir. Ağ protokollerinin eksik yapılandırılmasından dolayı yerel ağlarda
birçok servis dıĢı bırakma saldırısının yapılabildiği görülmüĢtür. Kolay seçilen
Ģifrelerin değiĢik parola kırma yöntemleri ile kırılabildiği, akraba ismi, doğum tarihi,
tutulan takım ismi gibi kelimelerle hazırlanmıĢ sözlüklerin kullanılması ile
oluĢturulmuĢ parola listelerinin uygulamalarıyla kırılan kolay Ģifreler gösterilmiĢtir.
Virüs atakları ele alınarak kullanıcı ve çalıĢanlarda siber güvenlik farkındalığı
oluĢturulmadığında oluĢabilecek tehlikelere iĢaret edilmiĢtir. Güncelleme yapılmayan
sunuculara sızılarak güncellemelerin önemi belirtilmiĢtir. Güvenlik sektöründe
niteliksiz elemanların çalıĢtırılmasından dolayı oluĢabilecek zafiyetler ortaya
konmuĢtur. Sertifika kullanılmasının önemi belirtilerek güvenlik alınmadığı takdirde
sertifikaların da etkisiz hale getirilebildiği saptanmıĢtır. Web uygulamalar üzerindeki
açıklıklar uygulamalı olarak gösterilerek web uygulamalar üzerinden neler
yapılabilceği gösterilmiĢtir. Servis dıĢı bırakma atakları uygulamaları sonucunda
sistemlerin devre dıĢı bırakıldığı, kablosuz ağlarda WEP Ģifrelerin çok rahat bir
Ģekilde kırıldığı, sahte eriĢim noktaları oluĢturulabildiği saptanmıĢtır. Bunlar için
gerekli önlemlerin alınması konusunda tavsiyeler bölümünde çözüm önerileri
sunulmuĢtur.
5.3. Sızma Testleri Sonucu Tavsiyeler
Bu çalıĢmada yapılan testlerde kullanılan açılıklar bilinen açıklıklardır. Yani önlemi
alınabilen fakat çeĢitli nedenlerden dolayı önlemi alınmamıĢ ve sonuç itibarıyla
istismar edilmiĢ açıklıklardır. YapılmıĢ olan bu testler sonucunda verilebilecek
tavsiyeler aĢağıdaki Ģekilde özetlenebilir.
5.3.1. Politika oluĢturulması
Kullanıcı, laptop, güvenlik duvarı, IPS, IDS, ağ, fiziksel geçiĢ, antivirüs, bluetooth ve
update gibi biliĢimin tüm alanlarını kapsayan güçlü bir güvenlik poltikasının
oluĢturularak yazılı hukuk metinleri olarak uygulamaya konulması gerekmektedir.
114
5.3.2. Standart Uygulamaları
ISO 27001, 27002 gibi standartların uygulanması biliĢim güvenliğini arttıracaktır.
5.3.3. Periyodik sızma testleri yaptırılması
Her yeni günde yeni açıklıklar ortaya çıkmaktadır. Bu nedenle periyodik olarak
sızma testlerinin yapılması Ģarttır. Kullanılan cihaz, yapılan uygulama, program ve
iĢletim sistemlerinde açıklıklar ortaya çıkabilmektedir. Sızma testleri ile bu açıklıklar
tespit edilmelidir. Ayrıca bu açıklıkların güvenlik uzmanları tarafından hergün takip
edilerek olası bir sıfırıncı gün atağında tedbir almaları gerekmektedir.
5.3.4. Sızma testlerindeki zafiyetlerin kapatılması
Sızma testlerinin yapılması tek baĢına yeterli değildir. Bulunan açıklıkların güvenlik
uzmanları tarafından kapatılması gerekmektedir. Örnek olarak bir IPS uzmanının
imza yazması gibi. Gerektiği takdirde waf, database güvenlik duvarı, IPS, NAC gibi
cihazlara yatırım yapılmalıdır. Bu noktada ise çok daha büyük bir problem ile
karĢılaĢılmaktadır; Tüm güvenlik cihazlarının alınmasına karĢın, uzman seviyede
güvenlik personeli çalıĢtırılmadığında yapılan yatırımdan yeterli verim
alınamamaktadır. Hal böyleyken güvenlik alanında istihdam edilen çalıĢanların
teknik açıdan ileri seviyede olması ve bu kiĢilerin belli periyotlar ile eğitimlere
gönderilmesi gerekmektedir. ÇalıĢmada yapılan testlerde cihazların güvenlik
önlemleri mevcut olduğu halde konfigure edilmediğinden dolayı güvenlik duvarı
atlatılabilmiĢ, ips‘nin varolmasına karĢın, sadece ids çalıĢtırıldığı için, bilinen
virüsler ile ağ ve sistemlere atak yapılabilmiĢ, ortadaki adam saldırısı dahil birçok
servis dıĢı bırakma saldırısı baĢarı ile sonuçlandırılmıĢtır. Bu bağlamda kalifiye
eleman çalıĢtırılması alınacak elemanların uygulamalı güvenlik sınavlarından
geçirilmesi çok önemlidir.
115
5.4. Ġhtiyaca Yönelik Güvenlik Çözümleri
ÇalıĢmada yapılan testler göz önüne alındığında aĢağıdaki teknik tavsiyeler
sıralanabilir.
5.4.1. Fiziksel güvenlik
Fiziksel güvenlik kapı geçiĢ sistemleri, yetkilendirme kuralları, kameralar ile denetim
halinde tutulmalıdır. Ayrıca hassas bilgi taĢıyan bilgisayarlara bios Ģifreleri
konulmalı, gerekirse kasalarına alarm taktırılmalıdır. OluĢabilecek yangın, afet
durumlarında yedeklemeler yapılmalı, sistem odalırına UPS‘ler konulmalı, klima
sistemleri denetlenmeli ve SNMP , syslog gibi yapılar kullanılarak, gerekli alarm
sistemleri ile olaylardan haberdar olabilme durumu sağlanmalıdır. Test ortamında
bios Ģifresi konulmuĢ olsaydı bios Ģifresinin baypas edilmesi gerekecekti. Bunun için
bilgisayar kasasının açılması gerekmektedir ve zaman alır. Ayrıca bilgisayara
yerleĢtirilen gizli alarm sayesinde olaydan haberdar olunması mümkün hale gelmiĢ
olacaktır. Switch router ve diğer cihazlar güvenli yerlere yerleĢtirildiklerinde konsol
ile eriĢim mümkün olmamalıdır. Tempest yöntemine karĢı gerekli yerlerde faraday
kafesi kullanılmalıdır.
5.4.2. Teknik güvenlik için yapılması gerekenler
Port security özelliği ile switch üzerinde tanımlanan MAC adresleri dıĢındaki MAC
adresleri ağa dahil olmadan port down moduna geçmektedir. MAC aldatmacası,
takliti yapılabilme olasılığına karĢı 802.1x yada macsec uygulamaları yapılarak
sertifika yöntemi ile domain bazlı kontrol yapılabilir. Ortadaki adam saldırısının
etkisiz hale getirilebilmesi için ARP inspection özelliği kullanılabilir. ARP
inspection MAC ve IP eĢleĢmesini tutarak arpspoofingi engeller. ARP access list
kullanılarak güvenlik güçlendirilebilir. VLAN yapıları düzgün dizayn edilmeli,
gerektiği takdirde eriĢim listesi kuralları tanımlanmalıdır. DHCP üzerinden yapılan
atakların kesilmesi için DHCP snooping yöntemi uygulanılabilir. Böylece hangi
porttan IP dağıtılabileceği saniyede ne kadar DHCP paketi geçebileceği belirlenmiĢ
olur. IP source guard uygulaması ile içeride yapılacak ipspoofing atakları engellenir.
STP guard, root guard ile STP üzerinden yapılan ataklar kesilebilir. VTP
116
kullanılıyorsa konfigürasyonlar yapıldıktan sonra switchlerin transparent modda
bırakılması atak riskisini azaltmaktadır. DTP paketleri gereksiz yerlere
gönderilmemeli no auto negotiation özelliği kullanılmalıdır. Passive interface
yapılandırılması ile routing paketlerinin gereksiz yerlere gönderilmesi engellenebilir.
Routing authentication ile dinamik routing protokollerine yapılan saldırılar
azaltılabilir. Routerlar üzerinde gerekli eriĢim listeleri yazılmalıdır. Telnet yerine
SSH kullanılmalı gereksiz servisler kapatılmalıdır. Banner ve versiyonları gösteren
cevap yazı ve herĢey kaldırılmalıdır. Sadece güvenlik duvarı kullanılmamalı IPS ve
IDS‘lerin kesinlikle düzgün yapılandırılması gerekmektedir. Ġçeride NAC cihazı
kullanılmalı updateleri takip etmelidir. Domain bazlı politikalar uygulanmalı
antivirüs yazılımları etkin Ģekilde çalıĢıyor olmalıdır. Database ve Web sitesi var ise
databse güvenlik duvarı ve web uygulama güvenlik duvarı kullanılmalıdır. Koruma
sistemleri yedekli çalıĢtırılabiliyorsa çalıĢtırılmalı, servis sağlayıcıdan gerektiği
takdirde dos ataklara karĢı koruma alınmalıdır. Yukarıda yapılan testlerde ips
çalıĢtırılmıĢ, son kullanıcılarda antivirüs programı yüklenmiĢ olsaydı ataklar
kesilebilirdi. SSL trafiği web varsayılan çıkıĢ kapısında analiz edilmelidir. Aksi
takdirde SSL kullanılarak tünel oluĢturulabilir, IPS etkisiz hale getirilebilir. Güvenlik
duvarı üzerinde tünelleme için gerekli önlemlerin alınması gerekmektedir. RDP
oturumlarında SSL kullanılması gerekmektedir. DNS üzerinde zone transfer sadece
gerekli yerlere açılmalıdır. Parola politikası belirlenmeli, kolay parolaları sistem
kabul etmemelidir. Parolalar hash‘li bir halde veritabanında saklanmalıdır. Sistem
tarafında kullanılan iĢletim sistemlerine göre örneğin microsoft ise active directory
düzgün bir Ģekilde yapılandırılmalıdır. LDAP yada KERBEROS gibi protokoller
gerektiğinde ekstra olarak kullanılmalıdır. Faklı bölgeler arasında isp içerisinden
gönderilen veriler hassas ve gizli ise IPSEC (Internet Protocol Security - Ġnternet
Protokolü Güvenliği) VPN (Virtual Private Network - Özel Sanal Ağ) kullanılması
gerekmektedir. Fake ve spam maillerden korunmak için SMTP 25 yerine TCP 587
submission port ISP tarafından kullanılarak doğrulama yapılabilir, kurumlarda ise
mail güvenliği cihazları kullanabilir. Mail güvenliği cihazları örneğin bilinmeyen bir
alandan belirli bir zaman içerisinde belli bir sayıdan fazla mail geldiğinde bu
maillerin yayılmasını engelleyebilir ve riski azaltabilir. Gelen exel word dosyalarında
makro kodlar engellenmeli, download edilen dosyalar bir proxy yardımıyla son
kullanıcıdan önce proxye indirilmeli ve sezgisel davranıĢ yöntemi ile analiz
edilmelidir. Kesinlikle WEP Ģifreleme kullanılmamalı, WPA yada WPA2 sözlük
117
ataklar ile kırılabildiği için sözlükte bulunan kolay Ģifreler verilmemeli, belirlenenen
parola politikasına göre Ģifreler belirlenmeli, üzerine DOT1X uygulanmalı, çalıĢılan
ortamdaki bilgiler çok önemli ise kablosuz ağ kullanılmamalıdır. Kullanılan kablosuz
ağ cihazları, yayınlamıĢ olduğu SSID‘yi atak yapan kiĢi yayınladığında karĢılık
verebilmeli ve DOS atak yaparak bastırabilmelidir. IP tabanlı telefonlarda iletiĢim
VPN yada SRTP üzerinden sağlanmalıdır.
Web tarafında periyodik olarak test yapılması gerekmektedir. Gerekli
yetkilendirmeler yapılarak, gerekli iĢaret kelimelerin filtrelenmesi gerekmektedir.
Örneğin filter sanatize kullanılmalı, ‗ < > gibi iĢaretler, select, update, insert gibi
kelimeler filtrelenmelidir. Web üzerindeki uygulamalarda yetkilendirmelere dikkat
edilmelidir. Kurum yada kuruluĢlar web sitelerini yaptırarak satın alacaklarsa,
kesinlikle web uygulama sızma testi yapılmıĢ uygulamaları almaya dikkat etmeleri
gerekir. SSL trafiği denetlenerek URL bazlı filtrelemelerin yanısıra ses video akıĢını
kontrol edecek uygulamaların da web uygulama güvenlik duvarı gibi yapılarda
kontrol altına alınması gerekmektedir.
5.5. Son Kullanıcı Farkındalığı
BaĢarılı atakların %65 civarı son kullanıcı hatalaraından kaynaklanmakta olduğu
söylenmektedir. Bu durumda son kullanıcılara farkındalık eğitimlerinin verilmesi çok
önemlidir. Ayrıca güvenlik politikalarına uymayan kullanıcılar için yaptırımlar
uygulanması gerekmektedir.
5.6. ÇalıĢan Kalitesinin Arttırılması
Bilgi teknolojilerinin güvenlik alanında çalıĢtırılacak personellerin nitelikleri çok
önemlidir. Bu sektörde çalıĢacak olan kiĢilerin belirli eğitimleri almıĢ, uluslararası
sertifikala sahip kiĢiler olması gerekmektedir. Bir personelin çalıĢma süresi tecrübesi
ile herzaman doğru orantılı olmayabilmektedir. Örneğin 15 sene küçük bir yapıyı
yöneten, sertifikalara sahip olmayan bir sistem yöneticisi ile 3 sene çok büyük
yapıları yönetmiĢ, uluslar arası sertifikalara sahip bir çalıĢanın arasında çok büyük
farklar ortaya çıkabilmektedir. Ayrıca iĢe alınacak personel kesinlikle uygulama
sınavlarından geçirilmelidir. ĠĢe alınacak personelin öncelikle uluslar arası geçerliliği
118
olan sertifikalara sahip olması gerekmektedir. Artı olarakta varsa yaptığı akademik
çalıĢmalara daha sonra ise senelik tecrübesine bakılması gerekmektedir. Bu kriterler
göz önüne alınmadığı zaman eksik bilgilerden, tecrübesizlikten kaynaklanan birçok
güvenlik açığı, nitelikli personel çalıĢtırıldığı için kapanacaktır.
5.7. Eğitim Yatırımlarının Yapılması
ĠĢe alınmıĢ personeller nekadar uzaman olursa olsun ilerleyen teknolojinin takibi için
yıllık periyodik eğitimlerin alınması Ģarttır. Böylece personel de güncel kalarak iĢe
daha büyük katkılarda bulunabilecektir.
5.8. Akademik ÇalıĢmaların Arttırılması
Siber güvenlik alanında yapılan akademik çalıĢmaların arttırılması gerekmektedir.
Bu konu üzerinde çalıĢacak kiĢiler teĢvik edilmelidirler. Teorik çalıĢmalar
uygulamayla desteklenmelidir. Bilgi güvenliği konusunda doktora programları
açılmalıdır.
5.9. Savunma Sistemlerinin Ġyi Yapılandırılması Ve Güvenlik Yatırımları
Güvenlik duvarı, Ips, Ids web güvenlik duvarı, hassas bilgilere sahip yerlerde dlp
kullanımı, nac cihazlarının kullanılması, sistem güvenliğinin active directory ile
sağlanması, selinux kullanımı, switching routing güvenliği gibi konuların
uygulamaları çok önemli olmakla birlikte güvenliğin vazgeçilmez unsurlarıdır. Bu
uygulamaların yapılması için gerekli cihazlara yatırım yapılması gerekmektedir.
Sadece cihaz almakla güvenliğin tam olarak sağlanması beklenemez. Ġyi yetiĢmiĢ
elemenalrın iĢe alınması ve insana da yatırım yapılması gerekmektedir. Sadece
cihaza yapılan yatırımlar, cihazı yönetebilecek seviyede personel olmadığında, boĢa
gidebilmektedir.
119
6. SONUÇ
Siber güvenlik her Ģeyden önce bir ülkenin siyasal, askeri, ekonomik ve hukuki
varlığının güvencesidir. Dolasıyla, siber güvenlik, sağlayacağı ekonomik yararın
ötesinde, bir ülkenin yaĢatılması sorunudur. Bu nedenle bireylerin özel yaĢamının
korunmasından bir ülkedeki siyasal, sosyal ve ekonomik düzenin sürdürülebilmesi,
özellikle de bankacılık ve her türlü kamu ve özel kurumların kendilerine özgü tüm
kayıtların tutulmasında büyük önem arz etmektedir. Enerji, SCADA,
telekomünikasyon, sağlık ve IP ile çalıĢan diğer altyapılar gibi çok kritik altyapıların
sürekliliğinin sağlanması ve bilgilerin korunmasında siber güvenlik çok büyük bir rol
oynamaktadır. Siber güvenliğin sağlanmasında ise sızma testlerinin uygulanması
büyük önem taĢımaktadır.
Yapılan test ve uygulamalar sonucunda ağ, sistem, uygulama tarafında gerekli
önelemler alınmadığı zaman yetkisiz eriĢimlerin sağlanılabildiği, verilerin
bütünlüğünün gizliliğinin ve eriĢilebilirliğinin tehlikeye girdiği gözlemlenilmiĢtir. Bu
önlemlerin alınabilmesi için açıklıklıkların bulunması, bulunduktan sonra uygun
Ģekilde kapatılması gerekmektedir. Bu açıklıkların bulunması ise sızma testlerinin
yapılması ile mümkün olabilmektedir.
ÇalıĢmada yapılan testler sonucunda son kullanıcıların bilgisayarlarına fiziksel
eriĢim halinde, Ģifreleri baypas edilmiĢ, ortadaki adam saldırıları ile Ģifreleri alınmıĢ,
sahte mailler ile farklı sitelere yönlendirilmiĢ, sahte mail atılarak truva atı saldırıları
yapılmıĢ, web sitelerindeki SQL injection, XSS açıklıkları, yetkilendirme açıklıkları
gibi açıklıklar istismar edilmiĢ, weireless ortamlardaki bilinen güvenlik açıklıkları
incelenerek, bunların çok ciddi sonuçlara neden olabileceği görülmüĢtür.
Yapılan testlerin sonucunda güvenliğe yeteri kadar yatırım yapılmaması, sızma
testlerine önem verilmemesi, gerekli güvenlik cihazlarının doğru Ģekilde entegre
edilmemiĢ olması ve yeterince kalifiye güvenlik elemanlarının çalıĢtırılmaması ile
bilinçsiz son kullanıcıların neden olabileceği açıklıklar oryaya konarak, güvenliğin,
sadece bilgi teknolojileri meselesi olmadığı aynı zamanda ekonomik, hukuksal, iç ve
dıĢ güvenlik meselesi olduğu sonucuna ulaĢılmıĢtır. GerçekleĢtirilen testlerle riskler
ve olaylar ortaya konularak çözüm önerileri sunulmuĢtur.
120
Gelecekte milli yazılımlara geçilmesi gerekmektedir. Yazılımların kod analizlerinin
yapılması, bu analizleri yapacak kiĢilerin desteklenerek yetiĢtirilmesi gerekmektedir.
Milli iĢletim sistemlerine daha çok önem verilmeli milli zafiyet tarama araçları
yazılmalıdır. Güvenlik bilinçlendirilmesi erken yaĢlarda yapılmalı yetenekli olan
kiĢiler erken yaĢtan itibaren güvenlik konusunda eğitilmelidir. Güvenlik için AR-
GE‘ye yapılan yatırımlar arttırılmalıdır. Kod analizleri yapılan güvenlik cihazları
milli olarak üretilmelidir. Riskleri azaltmak adına güvenlik alanında istihdam
edilecek personelin yetenekleri doğrultusunda eğitimler aldırılmalı sadece cihazlara
değil insanlarada yatırım yapılmalıdır. Güvenlik bilinçlendirilmesi için
üniversitelerde yapılan konferanslar, etkinlikler arttırılmalı, bu bilinçlendirme lise
seviyesine kadar indirilmelidir. BiliĢimin sadece güvenlik alanında değil, ağ, yazılım,
iĢletim sistemleri, veritabanları, sanallaĢtırma gibi dallarında da üniversitelerde,
sadece teorik eğitim verilmemeli, uygulumalı eğitim verebilecek personel
yetiĢtirilmeli ve uygulama ortamları sağlanmalıdır. Olası siber savaĢlara karĢı afet
senaryoları simüle edilmeli sadece IP ile çalıĢan sistemler değil, transmisyon
altyapısına sahip haberleĢme sistemlerine kamusal yatırım yapılmalıdır.
Donanımlar aracılığıyla bilgi sızdırılabildiği dikkate alındığında, milli güvenlik
açısından bu alanda kamu yatırımlarının yapılmasının önemi bir kez daha ortaya
çıkmaktadır. Açık kaynak kodlu iĢletim sistemleri ile basit yazılım programlama
dilleri ilköğretimden itibaren ders olarak konularak, bu alanda beĢeri sermaye
yatırımında bulunulmalıdır. Bu bağlamda biliĢim sektöründe rol alacak uzman,
mühendis, teknik eleman ve öğretim elemanlarının özenle seçilerek yetiĢtirilmesi
önem arz etmektedir.
121
KAYNAKLAR
Baykara, M., DaĢ, R., Karadoğan, Ġ. , 2013. Bilgi Güvenliği Sistemlerinde
Kullanılan Araçların Ġncelenmesi. 1st International Symposium on Digital
Forensics and Security (ISDFS‘13), 20-21 Mayıs, Elazığ, 231-239.
BG-Tek BiliĢim Güvenlik Teknolojileri, 2013. EriĢim Tarihi: 21.11.2013.
http://www.bg-tek.net/?id=penetration_testing
Cisco, IPv6 Internals. EriĢim Tarihi: 07.03.2013(a).
http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-3/ipv6_
internals. html
Cisco, IPv6: Neighbor Discovery Protocol (NDP). EriĢim Tarihi: 07.03.2013(b).
https://supportforums.cisco.com/docs/DOC-19701
Conklin, A., White, G. B., 2006. e-Government and Cyber Security: The Role of
Cyber Security Exercises., Proceedings of the 39th Hawaii International
Conference on System Sciences, 04-07 Jan., 1-8.
Demir, B., 2013. Yazılım Güvenliği Saldırı Ve Savunma. Dikeysen Yayın Dağıtım,
423s, Ġstanbul.
EC-Council, ECSA/LPT Bootcamp Courseware Manual v4 Volume 1. 899p, USA.
Emre, B., 2013. Siber SavaĢlar: 5. Boyutta SavaĢ. EriĢim Tarihi: 22.11.2013.
http://www.siberguvenlik.org.tr/makaleler/siber-savaslar-5-boyutta-savas/
EriĢim Tarihi: 21.11.2013. http://en.wikipedia.org/wiki/Computer_
emergency_ response_team
Eurocert, EriĢim Tarihi: 22.10.2013. http://www.iso27001.gen.tr/bilgi-guvenligi-
tarihcesi.html
Fiarcloth, J. , 2011 Penetration Tester's Open Source Toolkit, Elsevier, 441p,
Waltham.
Gupta, S., 2006. Foundstone Hacme Bank v2.0™ Software Security Training
Application User and Solution Guide, EriĢim Tarihi: 27.11.2013.
http://www.mcafee.com/us/resources/white-papers/foundstone/wp-hacme-
bank-v2-user-guide.pdf
Hauser, V., Attacking the IPv6 Protocol Suite. EriĢim Tarihi: 17.11.2013.
https://www.thc.org/papers/vh_thc-ipv6_attack.pdf
Hoffman, L. J., Rosenberg, T., Dodge, R., Ragsdale, D., 2005. Exploring a National
Cybersecurity Exercise for Universities. Publıshed By The Ieee Computer
Socıety, 27-33.
http://media.techtarget.com/digitalguide/images/Misc/osi.gif,eriĢim tarihi:11.03.2011
122
Kara, M., Çelikkol, S., Kritik Altyapılar: Elektrik Üretim ve Dağıtım Sistemleri
SCADA Güvenliği. Ağ ve Bilgi Güvenliği Sempozyumu, Kocaeli, (6s).
EriĢim Tarihi: 03.03.2013. http://www.emo.org.tr/ekler/2afc6bfb6139e85
_ek.pdf
Karaarslan, E., Teke, A., ġengonca, H., Bilgisayar Aglarında Güvenlik
Politikalarının Uygulanması. EriĢim Tarihi: 22.10.2013. http:
//www.karaarslan.net/bildiri/BilgisayarAglarindaGuvPolUygulanmasi.pdf
Kennedy, D., O‘Gorman, J., Kearns, D., Aharoni, M,, 2011. Metasploit. No Starch
Press, Inc., 299p, San Francisco.
Kurt, E., 2011. Fast Flux nedir?. EriĢim Tarihi: 11.03.2013.
http://www.olympos.net/belgeler/botnet/fast-flux-nedir-
51128.html#ixzz2Bu5JCCPL
Northrup, T., Mackin, J., 2011 Configuring Windows Server 2008 Network
Infrastructure , Microsoft Press, 725p, Washington.
OdabaĢ, C., Pehlivan, Ġ., Demircioğlu, S., Gezer, M., CoĢkun, Ġ., Kablosuz Ağ
ġifreleme Yöntemlerinin KarĢılaĢtırılması, EriĢim Tarihi: 13.03.2013.
http://www.emo.org.tr/ekler/8ca46a09ab755ee_ek.pdf
Pamuk, O., 2010. Stuxnet'i özel yapan ne?. EriĢim Tarihi: Tarihi: 05.03.2013.
http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/stuxneti-ozel-yapan-
ne.html
Pro-G BiliĢim Güvenliği ve AraĢtırma Ltd., 2003. BiliĢim Güvenliği. EriĢim Tarihi:
03.03.2013. http://www.pro-g.com.tr/whitepapers/bilisim-guvenligi-v1.pdf
Pro-G BiliĢim Güvenliği ve AraĢtırma Ltd., 2003. BiliĢim Güvenliği (Sürüm 1.1).
EriĢim Tarihi: 21.11.2013. http://www.pro-g.com.tr/whitepapers/bilisim-
guvenligi-v1.pdf
Ramachandran, V. , 2011, Backtrack 5 Wireless Penetration Testing, PACKT, 209p,
Birmingham Mumbai.
Resmî Gazete, 2013. Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı
(Tarih: 20.06. 2013, Sayı: 28683). EriĢim Tarihi: 19.11.2013.
www.resmigazete.gov.tr/eskiler/ 2013/06/20130620-1-1.pdf
Rowe, B. R. , Gallaher, M. P., 2006. Private Sector Cyber Security Investment
Strategies: An Empirical Analysis. EriĢim Tarihi: 02.03.2013.
http://www.weis2006.econinfosec.org/docs/18.pdf
Sans, 2009a. Network Penetration Testing and Ethical Hacking Exploitation,
www.sans.org
123
Sans, 2009b. Network Penetration Testing and Ethical Hacking Scanning
www.sans.org
Stuttard, D., Pinto, M., 2011. The Web Application Hackers Handbook. John Wiley
& Sons, Inc., 853p, Indianapolis.
ġahinaslan, Ö., Razbonyalı, R., ġahinaslan, E., Ağ Güvenliği YaĢam Döngüsü.
EriĢim Tarihi: 22.10.2013. http://ab.org.tr/ab12/bildiri/68.pdf
ġen, ġ., Yerlikaya, T., ISO 27001 Kurumsal Bilgi Güvenliği Standardı. EriĢim
Tarihi: 21.11.2013. http://ab.org.tr/ab13/bildiri/216.pdf
TSE, 2013. Sızma Testi, Eğitim Ve DanıĢmanlık Hizmeti Veren Personel Ve
Firmalar Ġçin Yetkilendirme Programı. EriĢim Tarihi: 20.11.2013.
http://bilisim.tse.org.tr/docs/pentest/s%C4%B1zma_testi_kriterler-v1-
0.pdf?sfvrsn=2
Urgun, B., 2010, Web Uygulamalarında DoS Denetimi. WGT E-Dergi, (5), 1-3.
Üneri, M., Bilgi Teknolojileri Güvenliği GeçmiĢi–Geleceği. EriĢim Tarihi:
22.10.2013. http://www.uekae.tubitak.gov.tr/uekae_content_files/Etkinlik
Web/BT_ Guvenliginin_Gecmisi_ve_Gelecegi.pdf
Vural Y, Sağıroğlu, ġ., 2008. Kurumsal Bilgi Güvenliği Ve Standartları Üzerine Bir
Ġnceleme, Gazi Üniv. Müh. Mim. Fak. Der., 23 (2), 507-522.
Watkins, M., Wallace, K., 2008, CCNA Security Offical Exam Certification Guide.
Cisco Press , 637p, Indianapolis.
WIKI, Pentesting_VOIP. EriĢim Tarihi:12.03.2013. http://www.Backtrack-
linux.org/wiki/index.php/Pentesting_VOIP
Wikipedia The Free Encyclopedia, 2013a. Computer emergency response team.
Wikipedia The Free Encyclopedia, 2013b. Tempest (codename). EriĢim Tarihi:
28.09.2013. http://en.wikipedia.org/wiki/Tempest_(codename)
Wikipedia The Free Encyclopedia, 2013c. Cross-site request forgery, EriĢim Tarihi:
07.06.2013. http://en.wikipedia.org/wiki/Cross-site_request_forgery
Wilkins, S., Smith, F., 2011, CCNP Security Offical Exam Cert Guide. Cisco Press ,
639p, Indianapolis.
Yayla M., 2013. Hukuki Bir Terim Olarak ―Siber SavaĢ‖ ―Cyber War‖ As A Legal
Term.* TBB Dergisi, (104),177-202.
124
ÖZGEÇMĠġ
Adı Soyadı : Muhammed Alparslan AKYILDIZ
Doğum Yeri ve Yılı : Ankara 18.10.1985
Medeni Hali : Evli
Yabancı Dili : Ġngilizce
Eğitim Durumu
Lise : Isparta Anadolu Lisesi
Lisans : GÜ Elektrik Elektronik Mühendisliği Bölümü
Yüksek Lisans : SDÜ Fen Bilimleri Enstitüsü Elektronik HaberleĢme
Mühendisliği Anabilim Dalı
Mesleki Deneyim
Ericsson Long Intern Stajyer 2010; 3 ay
Türk Telekom IPMPLS Uzman Yrd. 2011-2012; 8 ay
Yıldırım Beyazıt Üniversitesi ArĢ. Gör. 2012-2013; 14 ay
Vendeka Bilgi Teknolojileri Kıdemli Network Uzmanı 2013; 7 ay
TÜBĠTAK Bilgi Güvenliği Uzmanı 2013 - (halen)
Sahip Olunan Uluslararası Sertifikalar
CCNA, CCNP, CCNA SECURITY, HCDA, CEH, ECSA, LPT.
ĠĢletim Sistemi Tecrübesi
LINUX Kali, Backtrack, Ubuntu. Windows Sunucu 2003, 2008, 2013, Pardus, WIN
XP, WIN 7, WIN 8.
Progralama Deneyimleri
C, HTML, JAVASCRIPT, PHP, MYSQL, 8086, BASH SCRIPT, PYTHON.
Ağ Cihazları
Cisco, Hp, Enterasys, Huawei router, switch, firewall, IPS, IDS yönetimi.
125
Uzmanlık Alanı
Bilgi güvenliği ve sızma testleri.
Aldığı Eğitimler
CCNA Cisco Certificate Network Associtae
CCNP Cisco Certificate Network Prefessional
CEH Certified Ethical Hacker
ECSA Ec Council Security Analyst
LPT Licensed Penetration Tester
LPI Linux Professional Institute Linux 101