Burada genel hatlar ile hacking yntemlerini inceleyeceiz.
Bir sistemin hacker iin krlmasnn ne
kadar kolay olduunu greceiz. Bir hacker hi iz brakmadan baka birinin bilgisayarndan tm yasad ilemleri gerekletirebilir ve kiiyi haklln ispat edemez hale getirilebilir. Bunu yaknndaki biri, bilgisayarna eriim imkan olan biri kolaylkla yapabildii gibi, tesadfen de kiiyi seebilir ve hedefi iin bir kalkan yapabilir. Bylece madur susuz olsa da bunu ispat edemez. imdi bunlar inceleyelim.
A zleme Hackerlar szacaklar sistemi ncelikle izlemeye alrlar. Bunun iin kullanlan en nemli aralarnn banda sniffer dediimiz aralar gelmektedir. Bunlar bir bilgisayar zerinden internet ortamna gnderilen her tr bilgiyi yakalayabilirler. rnein Gmail, Hotmail gibi servislere eriirken girdiimiz kullanc ad ve ifrelere ulamak olasdr veya herhangi birine yolladmz e-postalarn da ieriklerini okumak mmkndr. Snifferlar iki tr izleme yaparlar, aktif ve pasif izleme.
1. Pasif zleme: nternet ortamna genel olarak bir a zerinden balanrz. Bu ada kullanlan aralar ucuz olduu iin hub dediimiz network aralar kullanlr. Hublar, kendisine bal olan bilgisayarlar adreslemezler, bu sebeple kendisine balanm tm cihazlara iletilmek istenen mesajlar iletilir (broadcast). Ethernet zerinde bulunan CSMA/CD algoritmas sayesinde her bilgisayar mesajn kendisine ait mi kontroln yapar ve eer kendisine ait deilse mesaj yok eder; ama hackerlar bu algoritmay devre d brakarak tm mesajlar okuyabilirler. 2. Aktif zleme: nternet ortamna balanmak iin bazen switch dediimiz akll cihazlar kullanlr. Bu gvenlik iin yaplr, nk switchler kendisine balanan bilgisayarlarn P adreslerini (nternet Protokol) ve Mac adreslerini (Ethernet zerinde bulunan benzersiz bir kimlik numaras) saklar. Bylece kendisine gelen mesaj direk sahibine iletir, baka bilgisayara gndermez.
Hackerlar bu akll cihazlar amak iin Dsniff ad verilen yazlm kullanrlar. Bu yazlmn iinde Macof ad verilen bir program bulunur. Macof, switch zerine rastgele ok sayda Mac adresi gnderir ve bombardmana tabi tutar. Switch kendine gelen tm Mac adreslerini saklamak iin kayt amaya balar ve hafzas ar dolunca artk Mac adreslerini kontrol edemez hale gelir ve kendisine gelen mesajlar her bilgisayar iletmeye balar.
Sahte DNS Eletirme DNS nedir? Alm Domain Name Systemdir. Bir isim zmleme hizmetidir. Peki neden bir isim zmleme servisine ihtiya duyarz? Bilgisayarlar dier bilgisayar ve sunucular ile IP adresi kullanarak haberleirler ve tm veri alverileri IP adresleri yardm ile yaplr. Web siteleri de sunucu ad verilen gl bilgisayarlar zerinde alrlar. Dolaysyla her web sitesinin bir IP adresi vardr. IP adresleri bizim bilgisayarlarmz web sitelerini altrmak iin bu IP adresi ile iletiim kurmal. Fakat biz hi bir zaman bir web sitesine balanacamz zaman web taraycmza http://77.79.75.27 gibi bir IP adresi yazarak erimiyoruz. Bu pratikte ok mmkn olan bir eyde deil. nsanlar isimleri daha kolay rendikleri ve aklda daha kalc olduu iin her web sitesinin bir ismi yani Alan Ad (Domain Name) dier bir deyile URL adresi vardr. http://www.google.com gibi. nsanlar isim, bilgisayarlar IP adreslerini kulland iin bu 2 sistem arasndaki dnm salayan servise Domain Name System (DNS) ismi verilir.
Sahte DNS eletirmek yada dier ad ile DNS spoofing bilgi elde etmenin nemli yollarndan biridir. Hackerlar a izlemeye aldklarnda DNS sorgulamas yapan paketleri yakalarlar. Mesela ye olduunuz gmail mail servisine gitmek istediinizde http://www.gmail.com adresini talep eder, bunu DNSe iletirken hacker burada devreye girer ve DNS Spoofing program ile sahte bir DNS adresi gnderir. Gerek DNSin gnderdii bilgi ise kullancnn bilgisayar tarafndan reddedilir, nk sahte DNSten istedii bilgiyi almtr. Bylece kendisinin tasarlad sahte bir giri sayfasna ynlendimesi, ifrelerini almas ok kolaydr. Daha sonra kullancya tekrar deneme mesajn gnderir ve gerek DNS devreye alnr. Bylece kullanc daha ne olduunu anlamadan kullanc ad ve ifresi alnmtr.
SSL Saldrlar nternet ortamnda bankaclk veya alveri ilemlerinde SSL kullanlmaktadr. SSL (Secure Socket Layer) ok gl bir ifreleme yaparak internet ortamna gnderilen bilgileri ifreler, bylece herkes gnderdiiniz bilgiyi alsa bile zmlemesi ok zor olduu iin bu bilgilere ulalamaz. Fakat hackerlar SSL zerinden de saldr dzenleyebilmektedir.
Bir banka adresine balandnzda rnein www.garanti.com adresine istek gnderdiinizde bu istek gvensiz bir port olan 80 portuna gider ve sizi 443 nolu gvenli olan ve SSL iin kullanlan alana ynlendirir ve size bir SSL sertifikas gnderir. Sizin bilgisayarnz sertifikadaki dijital imzay onaylamaya alr. Zaman gemi SSL iin se size bir uyar verir ve gvenli balantnn olmadn iletir. Bu normal SSL ilemidir.
Hackerlar yukarda da bahsettiimiz sahte DNS eletirme yolu ile bu bilgileri rahatlkla alabilirler. Olay yle geliir:
Dsniff programn altran hacker hedef bilgisayardan banka adresi istendiinde Dnsspoof programn devreye sokar ve kendi bilgisayarn DNS olarak tantr. Banka web adresi (rnein www.garanti.com ) DNSten istendiinde 80 ve 443 numaral portlar dinleyen Webmitm program ile istekleri kendi zerinden gndermeye balar. Bylece hedef bilgisayar istei Webmitme gnderir, webmitm ise iki tarafl balant aar, hem hedef bilgisayar hem de bankann gerek sunucusu arasnda kpr olur. Bu arada banka dijital imzal SSL sertifikasn Webmitme gnderir, Webmitm ise sahte bir SSL sertifikas retip hedef bilgisayara gnderir. Hedef bilgisayar sahte sertifikay onaylamaz ve kullancya bunu iletir; ama kullanclar bu mesajlar ok nemsemez ve bildirimleri onaylayarak balanrlar. Bylece bankaya balanrken kullanaca kimlik ve ifre bilgileri hackern bilgisayar zerinden bankaya gnderilirler ve bilgileriniz ellerine gemi olur.
Bankalar artk anlk ifre uygulamasna gemi olsa da bu ifrenin en dk 2 dakika zaman vardr. Hackern bilgisayarndan bu ifre gnderildii iin 2 dakika zaman ierisinde rahatlkla kiinin hesabna szlabilir.
DSniff Yazlmnn Dier nemli Programlar Filesnarf: Switch veya Hublar zerinden gnderilen tm dosyalar alabilir. Bunlara passwd dediimiz ifrelerin de tutulduu dosyalarda dahildir. Mailsnarf: Bu programla SMTP (E-posta gnderen protokol) ve POP3 (E-posta alan protokol) balantlardaki tm e-postalar alabilir, ald mesajlar saklar ve okunabilir bir formatta aabilir. Msgnarf: Yahoo Messenger, IRC, ICQ gibi sohbet programlarnda yazlan tm mesajlar alabilir ve saklayabilir. Ayrca tanmlanan anahtar kelimeleri tarayp yalnz istenen bilgilerin de alnmas salanabilir. Urlsnarf: Kullancnn girdii tm web adreslerini alar. WebSpy: Kullancnn girdii web sitesini kendi bilgisayarndan Netscape browser ile izler. Spoofing Bu teknik gven ilikisine dayanan bir tekniktir. rnein bir A bilgisayar var, B bilgisayarna gveniyor. Bir de C bilgisayar var, buna ise gvenmiyor. A gvendii iin Bye veri gnderir; ama Cye gndermez. Bu durumda eer C bilgisayar, kendini B bilgisayar olarak A bilgisayarna tantp kandrrsa bilgileri alabilir.
Bu kandrma yntemlerinden biri sahte DNS eletirmesidir; ama biz burada IP Spoofing ilemini inceleyeceiz.
IP Spoof yani IP gizleme ilemi ile birlikte sahte IP ile kandrma olaydr. Bu ilemi Ethernet zerinden TCP/IP blmesinden kolaylkla yaplr, bylece sahte IP ile hacker herhangi bir iz brakmam olur.
IP deitirme ilemindeki temel mantk, baka bir bilgisayar zerinden (hedefin gvendii bir bilgisayar) hedef bilgisayara saldr dzenlerler. Bu ileme kaynak ynlendirme ile IP spoofing ilemi denir.
Hedef bilgisayara gnderilmek istenen saldr paketleri belli bir bilgisayarn zerinden gnderir. Arac bilgisayar kendisi zerinden gnderilen bilgi hakknda bilgi sahibi deildir, hacker aracym gibi davranr ve hedefe paketi iletir; ama kendisine dnen cevab alamaz, bunu alabilmek iin pakete j parametresini ekleyerek alc gibi kendini tanmlar; ama hedef bilgisayarda gnderici olarak gzkmez, bylece iz brakmadan saldr yapabilir.
Oturum almak (Session Hijacking) Oturum alma ilemi yukarda ilediimiz sniffing ve spoofing ilemlerini bir karmdr. Bir bilgisayar zerinde oturum amak TCP/IP katmannda gerekleen 3 admda el skma yntemine dayanr. Bilgisayarnzdan hedef bir bilgisayarda oturum amak istediinizde nce bir SYN, sonra ISN mesaj gnderilir. Hedef bilgisayar da ACK mesaj gnderir ve onaylar, buna 3 admda el skma denir.
Hacker, krmak istedii bilgisayarda yetkili oturum amak ister; ama ok gvenli sistemlerde bu szmay yapmak kolay deildir. Bunun iin yetkili durumunda birini izlemeye alr. Telnet, ftp gibi gvensiz protokollere balantda ise 3 admda el skma esnasnda onay zerinde tutan ISN numaras dardan elde edilebilir hale gelebilmektedir. Yetkili kullancya bir DOS saldrs dzenler ve devre d brakarak hacker yetkilinin Ipsini kullanr. ISN numarasn da yakalad takdirde kolaylkla yetkili kiinin oturumunu kullanr, bylece hedef makinede hibir iz brakmadan yetkili yapm gibi tm ilemleri yapabilir.
Microsoft Windows XP / 2000 / NT ifrelerini Krmak Windows NT, 2000 ve XP ayn altyapya sahiptirler. NT sistemlerde ifre hashleri SAM (Security Account Manager) diye bilinen gvenlik veritabannda tutulurlar. Bu dosya Windows\System32\config klasr altnda bulunur. Bir kopyas ise Windows\Repair klasrnde tutulur.
Bir kullanc bilgisayarna ifre girdiinde iki sistem tetiklenir, bunlar NT Hash ve LanMan Hashtir. Girilen ifre nce Unicode yapsn dntrlr ve MD4 algoritmasndan geirir. LanMan hash ifreyi hesaplayabilmek iin toplam 14 karakter olacak kadar boluk ekler. Daha sonra bunu byk harfe dntrr ve yedi karakterlik iki ksma ayrr. Her bir ksm iin olduka zayf bir algoritma olan DES kullanlr ve 16 bytelk tek ynl bir hash deeri elde edilir.
Microsoftun kulland LanMan mekanizmas aslnda bu sistemlerin en byk adr, nk ok zayf bir algoritmas vardr, bu sebeple hemen krlabilirler. rnekle aklamak gerekirse:
Elimizde bir ifre olsun: 123456abcdef. Bu ifreye LanMan uyguland zaman: 1. lk olarak tm karakterler byk harfe evrilir: 123456ABCDEF 2. Daha sonra 14 karaktere tamamlamak iin boluk karakteri eklenir: 123456ABCDEF 3. 14 karakterlik bu ifre 2 eit ksma ayrlr: 123456A ve BCDEF 4. Her bir ksm 8 bytelk DES algoritmas uygulanr. 123456A iin ifrelenmi deer: 34DCA56BCD2A1EA2. Dier 8 bytlk olan BCDEF iin ifrelenmi deer: EDC21A46E71BFAC3 olur. Bu tr bir ifreyi hi tanmadnz bir kiinin bile olsa L0phtcrack ile ilk ksm 1 gn, ikinci ksm ise 12 dakikada krmak olduka mmkndr.
SAMi Krmak Bir dier ifre krma yntemi ise SAMi krmaktr. Windows sistemlerde kme ok sk yaand iin sk sk yedek alma ilemi gerekleir. Bu yedek ilemi esnasnda Windows\repair klasr altna SAM._ ad ile sktrlm SAM dosyasnn kopyas oluturulur.
Bu kopya alnp komut istemi ekrannda expand komutu ile SAM dosyas alr ve ifreler hashler iinden rahatlkla alnabilir.
Sechole Bir hack yntemi de Sechole metodudur. NT tabanl sistemlerde normal kullancnn admin dediimiz tam yetkili kullanc haline gelmesini salayan Sechole.exe programdr. Nt Sistemlerin gvenlii aratrlrken DebugActiveProcess kullanc modunda bir sistem dosyas olan Kernel32.DLL dosyasna kontrlllerin yaplmadan ilemin gerekletirilebilmesi ynnde bir ak kefedildi. Bu sayede NT sistemlerde ak halde gelen Guest (Misafir) yetkisiz hesab ile balanp Sechole.exe ile tam yetkili haline gelerek her tr ilemi bilgisayarda yapabilmek mmkndr.
Arka Kaplar (Back Door) Hackerlar, bir sisteme szdnda orada kalc olmak isterlerse baz programlar kullanrlar. Bu programlara arka kap denilmektedir. Bu programlar sayesinde bir daha hi uramadan hedef bilgisayar istedii gibi szabilir ve fark edilmezler. imdi bu arka kaplar inceleyelim.
Trojanlar (Truva Atlar): Tarihteki Truva Atna benzer bir mantk kullanlarak retilmilerdir. E-posta, sohbet programlar gibi programlarda resim veya benzeri nesnelere enjekte edilerek gnderilir. Resim veya ilgili dosya aldnda 1 ve 0 lardan oluan makine kodlar altran programlar tarafndan anlk derlenir ve arka planda alacak ekilde gizlenirler. Kullanclar bu programlar fark etmezler; ama arka planda kendisine tanmlanan port aracl ile hackern bilgisayarna istenilen bilgileri salar. Netbus: Arka kap uygulamalardan biri de Netbustr. Kendisini genelde patch.exe (yama anlamna gelir) olarak saklar ve TCP protokoln kulland iin sistem gvenlik programlarnn bile kolay kolay dikkatini ekmez. Belli bir port zerinden hacker bu programa balanr. Program kurulduunda kendini system ayarlarnn tutulduu registry dosyasna kaydeder ve her bilgisayar aldnda altrlr, bylece hacker Netbus sayesinde admin dediimiz yetkili kullanc tanm ile bilgisayar tantlr ve hi dikkat ekmeden bilgisayara szabilir, istedii bilgileri alabilir. Subseven: ok gl bir trojandr. Sisteme uzaktan balanan hackern istediini yapabilmesine olanak salar. Bunlardan bazlar: * Uzaktan port taramak * ifreli uygulamalarn ifresini almak * Yazcdan kt almak * Kullancnn klavyede bast her tuu yakalamak ve kaydetmek * Mouseu ynetmek * Web browser aarak kullancnn tanml kulland bir siteye balanmak * Yahoo Mesenger gibi programlarda kullancnn ne yaptn izlemek
Windowsta Delilleri Yok Etmek Windows tabanlo sistemlerde denetleme yapabilmek iin Event Log kullanlr. Bu mekanizma ile sisteme yaplan giriler (baarl veya hatal), dosya ve nesnelere eriimler, sistemin kapatlmas, almas gibi her ey kayt edilir.
Event Logda olaylar 3 kategoride tutulur. Uygulama, Gvenlik ve Sistem. Her kategorideki ilemler geici .log uzantl dosyalarda tutulur, ana kaytlar ise .evt uzantl dosyalarda tutulur: Secevent.evt, Sysevent.evt ve Appevent.evt. Bu dosyalar C:\Windows\System32\config klasrnde saklanr ve eriim yetkisi olan herkes rahatlkla ulaabilir.
Bir hacker sisteme szdnda hedeflerinden biri de Event Logdur, nk yapt ilemler kayt edilir. Normalde yetkili baland iin Event Loga balanp silebilir; ama bu sefer silindii ile alakal bir event oluaca iin hacker bu riske girmez. Bu yzden Event Log dosyasna NT Resource Kit yazlm ile gelen Auditpol program aracl ile disable parametresi gnderilir, bylece Event Log kayt servisi durur.
Akabinde kendisine ait kaytlar silmek isteyecektir, zaten dier kaytlar silerse dikkat ekecektir. Normalde elle ap dzenleyebilir; ama bu kompleks bir ilem olduu iin bu yol ok tercih edilmez. Bunun iin Elsave isimli ok kullanl bir yazlm aracl ile loglar tek tek silinir, bylece geride herhangi bir iz kalmam olur. Ferhat SARIKAYA Bilgi Teknolojileri Danman