Burada genel hatlar ile hacking yntemlerini inceleyeceiz.

Bir sistemin hacker iin krlmasnn ne

kadar kolay olduunu greceiz. Bir hacker hi iz brakmadan baka birinin bilgisayarndan tm
yasad ilemleri gerekletirebilir ve kiiyi haklln ispat edemez hale getirilebilir. Bunu yaknndaki
biri, bilgisayarna eriim imkan olan biri kolaylkla yapabildii gibi, tesadfen de kiiyi seebilir ve
hedefi iin bir kalkan yapabilir. Bylece madur susuz olsa da bunu ispat edemez. imdi bunlar
inceleyelim.

A zleme
Hackerlar szacaklar sistemi ncelikle izlemeye alrlar. Bunun iin kullanlan en nemli aralarnn
banda sniffer dediimiz aralar gelmektedir. Bunlar bir bilgisayar zerinden internet ortamna
gnderilen her tr bilgiyi yakalayabilirler. rnein Gmail, Hotmail gibi servislere eriirken girdiimiz
kullanc ad ve ifrelere ulamak olasdr veya herhangi birine yolladmz e-postalarn da ieriklerini
okumak mmkndr. Snifferlar iki tr izleme yaparlar, aktif ve pasif izleme.

1. Pasif zleme: nternet ortamna genel olarak bir a zerinden balanrz. Bu ada kullanlan
aralar ucuz olduu iin hub dediimiz network aralar kullanlr. Hublar, kendisine bal olan
bilgisayarlar adreslemezler, bu sebeple kendisine balanm tm cihazlara iletilmek istenen
mesajlar iletilir (broadcast). Ethernet zerinde bulunan CSMA/CD algoritmas sayesinde her
bilgisayar mesajn kendisine ait mi kontroln yapar ve eer kendisine ait deilse mesaj yok
eder; ama hackerlar bu algoritmay devre d brakarak tm mesajlar okuyabilirler.
2. Aktif zleme: nternet ortamna balanmak iin bazen switch dediimiz akll cihazlar
kullanlr. Bu gvenlik iin yaplr, nk switchler kendisine balanan bilgisayarlarn P
adreslerini (nternet Protokol) ve Mac adreslerini (Ethernet zerinde bulunan benzersiz bir
kimlik numaras) saklar. Bylece kendisine gelen mesaj direk sahibine iletir, baka bilgisayara
gndermez.

Hackerlar bu akll cihazlar amak iin Dsniff ad verilen yazlm kullanrlar. Bu yazlmn iinde
Macof ad verilen bir program bulunur. Macof, switch zerine rastgele ok sayda Mac adresi
gnderir ve bombardmana tabi tutar. Switch kendine gelen tm Mac adreslerini saklamak
iin kayt amaya balar ve hafzas ar dolunca artk Mac adreslerini kontrol edemez hale
gelir ve kendisine gelen mesajlar her bilgisayar iletmeye balar.

Sahte DNS Eletirme
DNS nedir?
Alm Domain Name Systemdir. Bir isim zmleme hizmetidir. Peki neden bir isim zmleme
servisine ihtiya duyarz? Bilgisayarlar dier bilgisayar ve sunucular ile IP adresi kullanarak
haberleirler ve tm veri alverileri IP adresleri yardm ile yaplr. Web siteleri de sunucu ad verilen
gl bilgisayarlar zerinde alrlar. Dolaysyla her web sitesinin bir IP adresi vardr. IP adresleri
bizim bilgisayarlarmz web sitelerini altrmak iin bu IP adresi ile iletiim kurmal. Fakat biz hi bir
zaman bir web sitesine balanacamz zaman web taraycmza http://77.79.75.27 gibi bir IP adresi
yazarak erimiyoruz. Bu pratikte ok mmkn olan bir eyde deil. nsanlar isimleri daha kolay
rendikleri ve aklda daha kalc olduu iin her web sitesinin bir ismi yani Alan Ad (Domain Name)
dier bir deyile URL adresi vardr. http://www.google.com gibi. nsanlar isim, bilgisayarlar IP
adreslerini kulland iin bu 2 sistem arasndaki dnm salayan servise Domain Name System
(DNS) ismi verilir.

Sahte DNS eletirmek yada dier ad ile DNS spoofing bilgi elde etmenin nemli yollarndan biridir.
Hackerlar a izlemeye aldklarnda DNS sorgulamas yapan paketleri yakalarlar. Mesela ye
olduunuz gmail mail servisine gitmek istediinizde http://www.gmail.com adresini talep eder, bunu
DNSe iletirken hacker burada devreye girer ve DNS Spoofing program ile sahte bir DNS adresi
gnderir. Gerek DNSin gnderdii bilgi ise kullancnn bilgisayar tarafndan reddedilir, nk sahte
DNSten istedii bilgiyi almtr. Bylece kendisinin tasarlad sahte bir giri sayfasna ynlendimesi,
ifrelerini almas ok kolaydr. Daha sonra kullancya tekrar deneme mesajn gnderir ve gerek
DNS devreye alnr. Bylece kullanc daha ne olduunu anlamadan kullanc ad ve ifresi alnmtr.

SSL Saldrlar
nternet ortamnda bankaclk veya alveri ilemlerinde SSL kullanlmaktadr. SSL (Secure Socket
Layer) ok gl bir ifreleme yaparak internet ortamna gnderilen bilgileri ifreler, bylece herkes
gnderdiiniz bilgiyi alsa bile zmlemesi ok zor olduu iin bu bilgilere ulalamaz. Fakat hackerlar
SSL zerinden de saldr dzenleyebilmektedir.

Bir banka adresine balandnzda rnein www.garanti.com adresine istek gnderdiinizde bu istek
gvensiz bir port olan 80 portuna gider ve sizi 443 nolu gvenli olan ve SSL iin kullanlan alana
ynlendirir ve size bir SSL sertifikas gnderir. Sizin bilgisayarnz sertifikadaki dijital imzay
onaylamaya alr. Zaman gemi SSL iin se size bir uyar verir ve gvenli balantnn olmadn
iletir. Bu normal SSL ilemidir.

Hackerlar yukarda da bahsettiimiz sahte DNS eletirme yolu ile bu bilgileri rahatlkla alabilirler.
Olay yle geliir:

Dsniff programn altran hacker hedef bilgisayardan banka adresi istendiinde Dnsspoof
programn devreye sokar ve kendi bilgisayarn DNS olarak tantr. Banka web adresi (rnein
www.garanti.com ) DNSten istendiinde 80 ve 443 numaral portlar dinleyen Webmitm program ile
istekleri kendi zerinden gndermeye balar. Bylece hedef bilgisayar istei Webmitme gnderir,
webmitm ise iki tarafl balant aar, hem hedef bilgisayar hem de bankann gerek sunucusu
arasnda kpr olur. Bu arada banka dijital imzal SSL sertifikasn Webmitme gnderir, Webmitm ise
sahte bir SSL sertifikas retip hedef bilgisayara gnderir. Hedef bilgisayar sahte sertifikay onaylamaz
ve kullancya bunu iletir; ama kullanclar bu mesajlar ok nemsemez ve bildirimleri onaylayarak
balanrlar. Bylece bankaya balanrken kullanaca kimlik ve ifre bilgileri hackern bilgisayar
zerinden bankaya gnderilirler ve bilgileriniz ellerine gemi olur.

Bankalar artk anlk ifre uygulamasna gemi olsa da bu ifrenin en dk 2 dakika zaman vardr.
Hackern bilgisayarndan bu ifre gnderildii iin 2 dakika zaman ierisinde rahatlkla kiinin hesabna
szlabilir.

DSniff Yazlmnn Dier nemli Programlar
Filesnarf: Switch veya Hublar zerinden gnderilen tm dosyalar alabilir. Bunlara passwd
dediimiz ifrelerin de tutulduu dosyalarda dahildir.
Mailsnarf: Bu programla SMTP (E-posta gnderen protokol) ve POP3 (E-posta alan protokol)
balantlardaki tm e-postalar alabilir, ald mesajlar saklar ve okunabilir bir formatta
aabilir.
Msgnarf: Yahoo Messenger, IRC, ICQ gibi sohbet programlarnda yazlan tm mesajlar
alabilir ve saklayabilir. Ayrca tanmlanan anahtar kelimeleri tarayp yalnz istenen bilgilerin
de alnmas salanabilir.
Urlsnarf: Kullancnn girdii tm web adreslerini alar.
WebSpy: Kullancnn girdii web sitesini kendi bilgisayarndan Netscape browser ile izler.
Spoofing
Bu teknik gven ilikisine dayanan bir tekniktir. rnein bir A bilgisayar var, B bilgisayarna
gveniyor. Bir de C bilgisayar var, buna ise gvenmiyor. A gvendii iin Bye veri gnderir; ama Cye
gndermez. Bu durumda eer C bilgisayar, kendini B bilgisayar olarak A bilgisayarna tantp
kandrrsa bilgileri alabilir.

Bu kandrma yntemlerinden biri sahte DNS eletirmesidir; ama biz burada IP Spoofing ilemini
inceleyeceiz.

IP Spoof yani IP gizleme ilemi ile birlikte sahte IP ile kandrma olaydr. Bu ilemi Ethernet zerinden
TCP/IP blmesinden kolaylkla yaplr, bylece sahte IP ile hacker herhangi bir iz brakmam olur.

IP deitirme ilemindeki temel mantk, baka bir bilgisayar zerinden (hedefin gvendii bir
bilgisayar) hedef bilgisayara saldr dzenlerler. Bu ileme kaynak ynlendirme ile IP spoofing ilemi
denir.

Hedef bilgisayara gnderilmek istenen saldr paketleri belli bir bilgisayarn zerinden gnderir. Arac
bilgisayar kendisi zerinden gnderilen bilgi hakknda bilgi sahibi deildir, hacker aracym gibi
davranr ve hedefe paketi iletir; ama kendisine dnen cevab alamaz, bunu alabilmek iin pakete j
parametresini ekleyerek alc gibi kendini tanmlar; ama hedef bilgisayarda gnderici olarak
gzkmez, bylece iz brakmadan saldr yapabilir.

Oturum almak (Session Hijacking)
Oturum alma ilemi yukarda ilediimiz sniffing ve spoofing ilemlerini bir karmdr. Bir bilgisayar
zerinde oturum amak TCP/IP katmannda gerekleen 3 admda el skma yntemine dayanr.
Bilgisayarnzdan hedef bir bilgisayarda oturum amak istediinizde nce bir SYN, sonra ISN mesaj
gnderilir. Hedef bilgisayar da ACK mesaj gnderir ve onaylar, buna 3 admda el skma denir.

Hacker, krmak istedii bilgisayarda yetkili oturum amak ister; ama ok gvenli sistemlerde bu
szmay yapmak kolay deildir. Bunun iin yetkili durumunda birini izlemeye alr. Telnet, ftp gibi
gvensiz protokollere balantda ise 3 admda el skma esnasnda onay zerinde tutan ISN
numaras dardan elde edilebilir hale gelebilmektedir. Yetkili kullancya bir DOS saldrs dzenler ve
devre d brakarak hacker yetkilinin Ipsini kullanr. ISN numarasn da yakalad takdirde kolaylkla
yetkili kiinin oturumunu kullanr, bylece hedef makinede hibir iz brakmadan yetkili yapm gibi
tm ilemleri yapabilir.

Microsoft Windows XP / 2000 / NT ifrelerini Krmak
Windows NT, 2000 ve XP ayn altyapya sahiptirler. NT sistemlerde ifre hashleri SAM (Security
Account Manager) diye bilinen gvenlik veritabannda tutulurlar. Bu dosya
Windows\System32\config klasr altnda bulunur. Bir kopyas ise Windows\Repair klasrnde
tutulur.

Bir kullanc bilgisayarna ifre girdiinde iki sistem tetiklenir, bunlar NT Hash ve LanMan Hashtir.
Girilen ifre nce Unicode yapsn dntrlr ve MD4 algoritmasndan geirir. LanMan hash ifreyi
hesaplayabilmek iin toplam 14 karakter olacak kadar boluk ekler. Daha sonra bunu byk harfe
dntrr ve yedi karakterlik iki ksma ayrr. Her bir ksm iin olduka zayf bir algoritma olan DES
kullanlr ve 16 bytelk tek ynl bir hash deeri elde edilir.

Microsoftun kulland LanMan mekanizmas aslnda bu sistemlerin en byk adr, nk ok zayf
bir algoritmas vardr, bu sebeple hemen krlabilirler. rnekle aklamak gerekirse:

Elimizde bir ifre olsun: 123456abcdef. Bu ifreye LanMan uyguland zaman:
1. lk olarak tm karakterler byk harfe evrilir: 123456ABCDEF
2. Daha sonra 14 karaktere tamamlamak iin boluk karakteri eklenir: 123456ABCDEF
3. 14 karakterlik bu ifre 2 eit ksma ayrlr: 123456A ve BCDEF
4. Her bir ksm 8 bytelk DES algoritmas uygulanr. 123456A iin ifrelenmi deer:
34DCA56BCD2A1EA2. Dier 8 bytlk olan BCDEF iin ifrelenmi deer: EDC21A46E71BFAC3
olur.
Bu tr bir ifreyi hi tanmadnz bir kiinin bile olsa L0phtcrack ile ilk ksm 1 gn, ikinci ksm ise 12
dakikada krmak olduka mmkndr.

SAMi Krmak
Bir dier ifre krma yntemi ise SAMi krmaktr. Windows sistemlerde kme ok sk yaand iin
sk sk yedek alma ilemi gerekleir. Bu yedek ilemi esnasnda Windows\repair klasr altna SAM._
ad ile sktrlm SAM dosyasnn kopyas oluturulur.

Bu kopya alnp komut istemi ekrannda expand komutu ile SAM dosyas alr ve ifreler hashler
iinden rahatlkla alnabilir.

Sechole
Bir hack yntemi de Sechole metodudur. NT tabanl sistemlerde normal kullancnn admin dediimiz
tam yetkili kullanc haline gelmesini salayan Sechole.exe programdr. Nt Sistemlerin gvenlii
aratrlrken DebugActiveProcess kullanc modunda bir sistem dosyas olan Kernel32.DLL dosyasna
kontrlllerin yaplmadan ilemin gerekletirilebilmesi ynnde bir ak kefedildi. Bu sayede NT
sistemlerde ak halde gelen Guest (Misafir) yetkisiz hesab ile balanp Sechole.exe ile tam yetkili
haline gelerek her tr ilemi bilgisayarda yapabilmek mmkndr.

Arka Kaplar (Back Door)
Hackerlar, bir sisteme szdnda orada kalc olmak isterlerse baz programlar kullanrlar. Bu
programlara arka kap denilmektedir. Bu programlar sayesinde bir daha hi uramadan hedef
bilgisayar istedii gibi szabilir ve fark edilmezler. imdi bu arka kaplar inceleyelim.

Trojanlar (Truva Atlar): Tarihteki Truva Atna benzer bir mantk kullanlarak retilmilerdir.
E-posta, sohbet programlar gibi programlarda resim veya benzeri nesnelere enjekte edilerek
gnderilir. Resim veya ilgili dosya aldnda 1 ve 0 lardan oluan makine kodlar altran
programlar tarafndan anlk derlenir ve arka planda alacak ekilde gizlenirler. Kullanclar
bu programlar fark etmezler; ama arka planda kendisine tanmlanan port aracl ile
hackern bilgisayarna istenilen bilgileri salar.
Netbus: Arka kap uygulamalardan biri de Netbustr. Kendisini genelde patch.exe (yama
anlamna gelir) olarak saklar ve TCP protokoln kulland iin sistem gvenlik
programlarnn bile kolay kolay dikkatini ekmez. Belli bir port zerinden hacker bu programa
balanr. Program kurulduunda kendini system ayarlarnn tutulduu registry dosyasna
kaydeder ve her bilgisayar aldnda altrlr, bylece hacker Netbus sayesinde admin
dediimiz yetkili kullanc tanm ile bilgisayar tantlr ve hi dikkat ekmeden bilgisayara
szabilir, istedii bilgileri alabilir.
Subseven: ok gl bir trojandr. Sisteme uzaktan balanan hackern istediini
yapabilmesine olanak salar. Bunlardan bazlar:
* Uzaktan port taramak
* ifreli uygulamalarn ifresini almak
* Yazcdan kt almak
* Kullancnn klavyede bast her tuu yakalamak ve kaydetmek
* Mouseu ynetmek
* Web browser aarak kullancnn tanml kulland bir siteye balanmak
* Yahoo Mesenger gibi programlarda kullancnn ne yaptn izlemek

Windowsta Delilleri Yok Etmek
Windows tabanlo sistemlerde denetleme yapabilmek iin Event Log kullanlr. Bu mekanizma ile
sisteme yaplan giriler (baarl veya hatal), dosya ve nesnelere eriimler, sistemin kapatlmas,
almas gibi her ey kayt edilir.

Event Logda olaylar 3 kategoride tutulur. Uygulama, Gvenlik ve Sistem. Her kategorideki ilemler
geici .log uzantl dosyalarda tutulur, ana kaytlar ise .evt uzantl dosyalarda tutulur: Secevent.evt,
Sysevent.evt ve Appevent.evt. Bu dosyalar C:\Windows\System32\config klasrnde saklanr ve
eriim yetkisi olan herkes rahatlkla ulaabilir.

Bir hacker sisteme szdnda hedeflerinden biri de Event Logdur, nk yapt ilemler kayt edilir.
Normalde yetkili baland iin Event Loga balanp silebilir; ama bu sefer silindii ile alakal bir
event oluaca iin hacker bu riske girmez. Bu yzden Event Log dosyasna NT Resource Kit yazlm
ile gelen Auditpol program aracl ile disable parametresi gnderilir, bylece Event Log kayt
servisi durur.

Akabinde kendisine ait kaytlar silmek isteyecektir, zaten dier kaytlar silerse dikkat ekecektir.
Normalde elle ap dzenleyebilir; ama bu kompleks bir ilem olduu iin bu yol ok tercih edilmez.
Bunun iin Elsave isimli ok kullanl bir yazlm aracl ile loglar tek tek silinir, bylece geride
herhangi bir iz kalmam olur.
Ferhat SARIKAYA
Bilgi Teknolojileri Danman