CEH CHAPTER 1

Ethical Hacking, Etik ve Yasallk Kavramlarna Giri

Bir ok insan hackerlar bilgisayarlarn iine girebilen ve deerli bilgileri bulabilen olaanst bir seviye ve bilgiye sahip kiiler olarak bilir. Hacker kelimesi akla bilgisayar ekranna bir ka satr bir eyler yazp bilgisayarda istediini yapabilen gen bilgisayar ustasn getirir. Iyi bir hacker, bilgisayar sistemlerinin nasl altn anlayabilen ve gvenlik an bulmak iin gerekli aralar kullanmasn bilen kiidir. Ethical Hacking Terminilojisi : Threat : Potansiyel gvenlik ihlaline neden olan bir durum veya ortamdr. Ethical hackerlar, gvenlik analizleri yaparken threatleri (Tehlikeler) arar ve nceliklendirirler. Exploit : Bir bug, performans dmesi veya savunmasz durumundan faydalanan bir yazlmdr. Exploitleri snflara ayrmann iki yntemi vardr : Remote Exploit : Network zerinden alr ve saldrya ak olan sisteme daha nce eriim yaplmasna gerek olmadan gvenlik hassasiyetlerini kullanr. Local Expolit : Saldrya ak olan sistemde ayrcalklar (haklar) artrmak iin daha nceden eriimin yaplmas gerekir.

Vulnerability : Mevcut yazlm hatas, mantksal dizayn veya sistemde beklenmedik ve istenmeyen kt veya hasar verici ynergeleri altran bir olaya neden olan hatann meydana gelmesidir. Target of Evaluation : Gvenlik analizi veya saldrnn hedefi olan sistem, program veya network Attack : Atak veya saldr, savunmasz olmaya bal olarak sistem tehlikeye ddnde meydana gelir. Bir ok atak, exploitler vastasyla srekli olarak yaplr. Ethical hackerlar ise bir takm aralar kullanarak bu exploitleri bulur ve saldrlar nler. Gvenlik Unsurlar :

Mevcut durum iinde gvenlik iin bir ok grnt mevcut. Sistemdeki kii, sistemin ynergelere gre davranan sisteme gvenmesi gerekir. Bu rahatlatc bir durumdur. Sistemler, kullanclar, uygulamalar network ortamnda birbiriyle etkileim iindedir. Tanmlama ve otantikasyon, gvenlik iin bir aratr. Sistem adminleri ve dier yekililer, sistem kaynaklarna kimlerin nereden ve nezaman hangi amalar iin eritiklerini bilmeye ihtiyalar vardr. Audit (denetleme) veya log dosyalar sorumluluk asndan gvenlik ile ilgili bilgiler salayabilir. Tm kullanclar iin btn kaynaklarn eriilebilir olmamas stratejik bir anlam ifade eder. nceden tanmlanm parametreler ile eriim kontrolnn yaplmas bu tr gvenlik ihtiyalarnn elde edilmesine yardmc olacaktr.

Si

na

st

CEH CHAPTER 1

Dier bir gvenlik durumu ise sistemin operasyonel seviyede tekrar kullanlabilirliidir. Bir ilem tarafndan kullanlan nesne tekrar kullanlamyabilir veya baka bir process tarafndan gvenliin bozulmasndan dolay deitirilmi olabilir. Gvenlik , gizlilie, gvenilirlie, btnle ve eriilebilirlie dayanr. Gizlilik : Kaynaklarn veya bilginin, saklanmasdr. Gvenilirlik : Bilginin kaynann kimliinin dorulanmas ve bilgiye gvenilmesidir. Integrity (Btnlk) : Yetkisiz ve hatal deiiklikleri engellemek asndan data ve kaynaklarn gvenilir olmasn ifade eder. Eriebilirlik : Data veya kaynaklarn devaml kullanlabilir olmasn ifade eder. Bir hackern amac yukarda saydmz 4 unsurdan bir veya daha fazlas zerinden network veya sistem iinde savunmasz yerlerden ieri girmektir. Dos ataklarnda bir hacker sistemlerin veya networklerin bu unsurlardan eriilebilir olanlarn kullanr. Bununla birlikte Dos ataklar bir ok formda meydana gelebilir ve ana amaca gre bandgenilii veya sistem kaynaklarn kullanp bitirir. Youn bir ekilde mesaj gnderilmesi ise sistemin kapanmasna neden olur ve kullancnn sistemindeki normal servisler iini yapamaz hale gelir. Password veya veya dier data trleri network zerinden dz metin olarak transfer edilirken alnmas ise gizlilik ile ilgili saldrdr. Bu tr hrszlklar sadece serverlar zerinde snrl deildir. Laptoplar, diskler, backup medialarda bu riske aktr. Bit-flipping ataklar ise integrity (Btnlk) ile ilgili saldrlardr. nk data transfer halindeyken veya bilgisayar zerinde iken kurcalanabilir. Bu yzden adminler datann gerek kiiden gnderildiini anlayamazlar. Bit-flipping saldrs, kriptografik ifreleme zerinden yaplan saldrdr. Bu tr saldrlar direk ifre zerine deildir, saldr mesaj veya mesaj serisine yaplr. Bu tr atak zellikle mesajn ierii biliniyorsa tehlikelidir. rnein ; sana 100 YTL borcum var mesaj sana 1000 YTL borcum var eklinde deitirilebilir. MAC adres spoofing saldrs ise authenticity (Gereklik, doruluk) ataklardr. nk Mac adres filtrelemesinin aktif olduu sistemde yetkisiz cihazn network ile balant kurmasna neden olur. Farkl Hacking Teknolojileri: Zaaflar tespit etme, alan exploitleri ve sistemleri tehlikeye dren eyleri bulmak iin bir ok yntem ve aralar var. Trojanlar, backdoorlar, snifferlar, rootkitler, buffer overflowlar ve SQL injection gibi teknolojilerin hepsi bir sistemi veya network hacklemek iin kullanlacak yntemlerdir. Zayfla neden olan hacking aralar u 4 blgeden biri iin alr :
2

Si

na

st

CEH CHAPTER 1

letim Sistemleri : Bir ok sistem admini iletim sistemlerini default ayarlar ile ykler. Patchleri yklenmemi iletim sistemleri, potansiyel olarak saldrya ak hale gelir. Uygulamalar : Uygulamay yazanlar genelde saldrya ak olup olmyacan test etmezler. Shrink-Wrap kod : Microsoft Word iindeki macrolar gibi uygulamalar, uygulama iind kod altrlabilmesini salar. Hatal konfigrasyonlar : Kullanm kolaylatrmak iin sistemlerde yaplan hatal konfigrasyonlar ve dk gvenlik ayarlar saldrya ve zaafa neden olur.

Si
3

na

Saldrlar ayrca inside ve outside olarak da kategoriye ayrabiliriz. Inside ataklar, genelde ierden ve ierdeki biri tarafndan yaplan saldrlardr, outside ataklar ise uzaktan balant veya internet zerinden yaplan saldrlardr.

st

Saldrlar farkl trde olabilir ve iki kategoride toplayabiliriz. Active veya Passive saldrlar. Akitf saldrlar, saldr yaplan network veya sistemi deitirmek iin yaplrken, pasif ataklar ise bilgi almak iin yaplr. Aktif ataklar, eriilebilirlie, btnlk ve orjinallii etkiler. Pasif atak ise gizlilii etkiler.

CEH CHAPTER 1

Ethical Hacking indeki Farkl Evreleri Anlamak ve Ethical Hackingin 5 Evresi : Bir Ethical Hacker, kt niyetli bir hackern gerekletirdii benzer ilemleri takip eder. Bir bilgisayar sistemine girip elde etmek ve bunun devamlln salamann admlar, hackern tm isteine ve arna ramen ayndr. Aadaki ekil, bir hackern bir sistemi ele geirmek iin genel olarak takip ettii yolu gsterir.

1. Aama : Pasif ve Aktif Keif

Pasif keif, hedeflenen kii veya irket ile ilgili bir bilgiye sahip olmadan hedef hakknda bilgi toplamaktr. Pasif keif, alanlarn binaya kata girdiini veya kata ktn belirlemek iin binay izlemek kadar basit olabilir. Bununla birlikte genellikle bu ilem internet zerinden veya google vastasyla bir kii veya irket hakknda bilgi toplamak iin arama yaparak gerekletirilir. Bu process genelde bilgi toplamak olarak isimlendirilir. Social enginnering ve dumpster diving (p bidonuna dalmak) pasiv keif iin rneklendirilebilir. Network koklamak (Sniffing) da pasif keiftir ve size Ip adres aralklar, isim kurallar, gizli serverlar ve networkler ve dier sistem zerindeki servisler hakknda bilgi edinmenizi salar. Sniffing, monitoring yapmakla ayn eydir. Yani hacker, belirli ilemlerin ne zaman gerekletiini ve trafiin nasl aktn grmek iin data akn izler. Aktif keif, hostlar, ip adresleri ve servisleri kefetmek iin network inceler (sondaj yapar). Bu ilem pasif keife gre tespit edilme riski daha yksektir ve bazen rattling the doorknobs (Kap gcrdamas) olarak da isimlendirilir. Aktif keif bir hackera uygun
4

Si

na

st

CEH CHAPTER 1

gvenlik nlemlerinin iaretlerini verir (n kap kilitlimi). Fakat bu ilem yakalanma riskini veya en azndan pheyi artrr. Hem aktif hemde pasif keif bir saldrda kullanlacak olan faydal bilgilerin toplanmasn salar. rnein kullanlan web server trn veya iletim sistemi versiyon numarasnn renilmesi. Bu bilgi hackern o iletim sisteminin versiyonunda bulunan zaaflar bulmasn ve bu an giri iin kullanlmasn salar. 2. Aama : Scanning Scanning, keif srasnda elde edilen bilgileri almak ve bu bilgiyi network incelemek iin kullanma aamasdr. Aslnda aktif keifin mantksal uzantsdr. Saldrgan, firewalllar, routerlar gibi kritik network bilgilerini traceroute gibi bir arala renmeye alrlar. Hackern bu aama iinde kullanaca dier aralar iinde dialerlar, port scannerlar, network mapper, sweeper (Sprc) ve zayflklar renmek iin tarayclar bulunur. Port tarayclar, hedef makine zerinde alan servisler hakknda bilgi toplamak iin dinlemedeki (Listening durumundaki) portlar tespit etmek iin kullanlr. Hackerlar saldry yapmasna yardmc olacak bilgisayar isimleri, Ip adresleri, kullanc hesaplar gibi herhangi bir bilgiyi aratrrlar. Bununla ilgili aralar ilerde greceiz.

Asl hackingin gerekletii aamadr. Potansiyel olarak zarar vermenin olduu ksmdr. Zayflklarn, keif ve scanning aamasnda bulunmasndan sonra eriimi gerekletirmek iin bu bilgileri kullanma zamandr. Bu aamada kullanlan spoofing teknii ile hackerlar sisteme kendisini baka biri veya baka bir sistem gibi gsterip sistemi smrmeye alrlar. Bu teknik ile sisteme iinde bug olan paketler gnderilir. Packet flooding (Youn paket saldrs) ile de temel servislerin ileyii durdurulmaya allr. Smurf ataklar ile, network zerindeki eriilebilir kullanclardan cevap alarak bunlarn ortaya karlmas salanr ve sonrada geerli adresleri zerinden kurbana youn saldrlar dzenlenir. Saldrgan sisteme iletim sistemi seviyesinde, uygulama seviyesinde veya network seviyesinde eriim salayabilir. Hacker bir exploit kullanmak iin, LAN, bilgisayara local eriim, internet veya offline balanty kullanabilir. Buna rnek olarak , denial of service (DOS), stack-based buffer overflow ve session hijacking verilebilir. Bu aama hacker dnyasnda sistemin sahibi olma olarak da bilinir. 4. Aama : Maintaining Access Hacker bir kez eriim saladktan sonra yapaca saldrlar ve smrme iin bu eriimi ayakta tutmas gerekir. Baz durumlarda hacker, dier hackerlar veya ierde alan personelin yardmyla sistemi kuvvetlendirirler. Saldrgan, giriini salayan tespit edilemeyen kant yok etmeyi seebilir veya girileri tekrarlamak iin backdoor veya Trojan kullanabilir. Ayrca kernel seviyesinde rootkitler ykleyip hesap kontrol salayabilir. Bu ilemin nedeni rootkitlerin iletim sistemi seviyesinde giri salamasdr.
5

Si

na

3. Aama : Gainning Access

st

CEH CHAPTER 1

Trojan atlar uygulama seviyesinde eriim salar ve kullancnn bunu yklemesine baldr. Windows sistemlerinde ou Trojan bir servis gibi kendi kendine yklenir ve local sistem gibi alr. Hackerlar trojanlar kullanarak kullanc adlarn, passwordleri, kredi kart bilgileri gibi sistem de tutulan bilgileri transfer edebilir. Hacker bir kez sisteme sahip olursa bunu sonradan yapaca saldrlar iin kullanr. Bu nedenle owned system (Sahip olunan sistem), zombie sistem olarakda isimlendirilir. 5. Aama : Covering Tracks (zleri Kapatmak) Hackerlar bir kez eriimi gerekletirip devamllnda saladktan sonra gvenlik personeli tarafndan tespit edilmemek iin izlerini kapatmalar gerekir. Bu sayede sistem sahiplikleri devam edebilir, hacking izleri silinebilir ve yasal bir cezadan uzak durabilirler. Hackerlar tm log dosyalar , antivirus programlarnn tespit etmesi veya intrusion detection system (IDS) alarmlar gibi tm saldr izlerini silmeye alrlar. Bu aama iindeki aktivitelere rnek olarak , stenografi, tunel protokollerinin kullanlmas ve log dosyalarnda deiiklikler gsterilebilir. Stenografi, datann (ses dosyas veya imaj gibi) gizlenme ilemidir. Tunneling ise bir protokoln baka biri tarafndan tanmas sayesinde tama protokol zerinde avantaj salar. TCP ve IP headerlarndaki extra boluk datann gizlenmesini salyacaktr.

Bir saldrgann bir sisteme giri yapabilmesi iin bir ok yol vardr. Saldrgan bir zayflktan veya sistemdeki savunmasz bir yerden yaralanmaldr. Saldr eitleri : 1. letim Sistemi saldrlar

2. Uygulama seviyesinde saldrlar 3. Shrink-Wrap kod saldrlar

4. Misconfiguration (Hatal konfigrasyon) saldrlar letim sistemleri gnmzde karmak bir yapya sahiptir. zerlerinde bir ok servis, portlar ve eriim modlar alr ve onlar durdurmak iin kapsaml bir ayar gerektirir. Bir iletim sistemini yklediinizde default olarak ok fazla sayda servis alr ve portlar aktr. letim sistemi iin karlan hotfixlerin ve patchlerin dzenli olarak takip edilip eklenmesi gerekir. Fakat bu byk sayda bilgisayarn olduu networklerde karmaktr. letim sisteminin bu aklarn bilen saldrganlar daha zahmetsiz bir ekilde bu iletim sisteminin savunmasz ksmlarndan girip tm network ele geirmeye alrlar. Uygulama seviyesinde saldrlarda ise yazlm gelitiriciler uygulamay zamannda yetitirebilmek iin genellikle skk bir takvime sahiptirler. Yazlmlar bir ok fonksiyonellik ve zellikler ile birlikte gelir. Zaman skkl yznden rn kmadan nce gerekli testler yaplamaz. Ayrca gvenlikte genelde sonradan dnlr ve

Si

na

n
6

Saldr eitleri :

st

CEH CHAPTER 1

bunlarda add-on eklinde kullanclara ulatrlr. Hata denetlemesinin olmamas veya zayf olmas Buffer Overflow ataklarna neden olur. Shrink-Wrap code ataklar : Bir uygulama yklendiinde adminlerin hayatn kolaylatrmak iin ok fazla rnek script ile birlikte gelir. Burdaki sorun bu scriptlerin zelletirilememesi veya iyi ayarlanmam olmasdr. Buda shrink wrap code ataklarna neden olur. Misconfiguration saldrlar : Zayf gvenlie sahip olan sistemler hacklenir nk dzgn konfigure edilmemilerdir. Sistemlerin karmak olmas ve adminlerin gerekli seviye ve kaynaklara sahip olmamas sorun oluturur. Adminler alabilecek en basit konfigrasyon ayarlarn yaparlar. Bir bilgisayarn dzgn konfigure edilme ansn artrmak iin gerekli olmayan servisleri ve yazlmlar mutlaka kaldrn.

Hacktivism :

Farkl Hacker Snflar :

Hackerlar 4 grupta toplanr. Black hats, White hats, Gray hats ve Suicide hackers. Black Hats : Black hatler kt ocuklardr. Cracker olarakda bilinirler. Bu kiiler bilgilerini kt veya illegal amalar iin kullanrlar. Bunlar zorla girerler veya baka deyile uzaktaki makinelerin sistem btnln bozarlar. Yetkisiz eriim sayesinde black hat hackerlar ok nemli datay yokederler, kullanc servislerinin almasn engellerler ve hedefleri iin basit sorunlara yol aabilirler. White Hats : White hatler iyi ocuklardr. Bu ocuklar hacking bilgilerini defansif amalar iin kullanrlar. Security Analyst olarak da isimlendirilirler. White hatler hacking bilgisine sahip, hacker aralarn kullanabilen ve bu aralar zayflklar tespit etmede kullanan gvenlik profesyonelleridir. Ethical hackerlar bu kategoridedir. Gray Hats : Gray hatler, duruma gre defansif veya ofansif olarak alan hackerlardr. Bu hacker ve cracker arasn bir izgi ile ayrr. Her ikiside internet zerinde gldr.

Si

na

Hacktivism, bir neden iin hack yapmay ifade eder. Bu hackerlar, sosyal veya politik gndeme sahip olabilir. Niyetleri, kendileri veya amalar ile ilgili olarak hacking faaliyeti vastasyla mesaj gndermektir. Bu hackerlarn ou, web sitelerine zarar vermek, virsler yaratma, DoS veya kt hret iin dier zarar verici saldrlar gibi aktivitelerde bulunabilir. Hacktivisim daha ok devlet kurumlarna, politik gruplara ve bu gruplar haricindeki dier gruplar veya tekil olarak iyi veya yanl grdkleri yerleri hedef olarak seerler.

st

Unutulmamas Gereken Kural : Bir hacker, sisteminize girmeye karar vermi ise bununla ilgili yapabileceiniz bir ey yoktur. Yapacanz tek ey ieri girmesini zorlatrmaktr.

CEH CHAPTER 1

Suicide Hacker : Herhangi bir nedenden dolay kritik altyapy kerten ve 30 yl gibi bir sre cezaevinde kalmaya kar herhangi bir endiesi olmayan kiilerdir. Bunlara ek olarak kendi kendilerini ifa eden ethical hackerlar vardr ve bu kiiler ou kez ilgin bir bak as ile hacker aralarna ilgi duyarlar. Bunlar sistemdeki gvenlik sorunlarna dikkati ekerler veya kurbanlar sistemlerini daha iyi korumalar iin eitirler. Bu hackerlar kurbanlarna iyilik yaparlar. Grnteki en fazla tartmaya yol aan noktadan, baz insanlarn krma ve giri gibi iler ile kendi kendine hacking yapmalarn ahlakszca bulduklar sylenebilir. Fakat inan udurki, ethical (Ahlaki) hacking ykmdan, zarar vermekten hari tutulur ve buda onlar iyi huylu hacker lar olarak dnen insanlarnda tavrlarn en azndan yumuatm olur. Bu baka gre, system iine girmek iin en nazik yntemlerden biri olabilir ve sonrasnda system adminine bunun nasl gerekletiini ve bu ain nasl kapatlacan anlatr. Hacker karlksz alan bir tiger team (Kiralk gvenlik rehberlii yapan bir grup) gibidir. Bu yaklam bir ok ethical hackera yasal sorun tekil etmitir. Ethical hacking ile urarken yasalar ve yasal sorumluluklarnz bilin. Bir ok kendini ifa etmi olan ethical hackerlar, bir danman veya rehber gibi gvenlik alanna girmeye alr. Bir ok firma nemli verilerinin bulunduu kaplarnn eiinde birisinin olmasn ve gvenlik anz belli bir cret karl kapatyim teklifine iyi niyetle karlamaz. Cevap Bilgi iin teekkrler, sorunu zdk gibisinden uzaktr ve polisi arp size tutuklatabilirler. Ethical Hackerlar ve Crackerlar. Kim bu Adamlar ? Bir ok insan hacking ileminin ahlaki olabilirmi diye sorar. Evet olabilir. Ethical hackerlar, genelde kendi hacking bilgilerini ve bir takm aralar savunma ve koruma amal olarak kullanan gvenlik uzmanlar veya networke giri testleri yapan kiilerdir. Gvenlik uzman olan ethical hackerlar kendi networklerini ve system gvenliklerini zayflklara kar test eder ve bunuda bir hackern network tehlikeye drmek iin kulland aralar ile gerekletirir. Tm bilgisayar uzmanlarnn ethical hacking becerilerini renebilir. Cracker terimi, kendi hacking becerilerini ve aralar, ykmak veya saldrmak amal olarak kullanan hacker ifade eder. Bunlar arasnda virsleri yaymak, sistemleri ve networkleri tehlikeye atmak veya indirmek bulunur. Not : Crackern dier ad kt niyetli hackerdr. Ethical Hacker Snflar : Ethicak hackerlar, bir firmaya saldrganlardan gelen tehlikeleri deerlendiren bilgi gvenlik uzmanlardr. Ethical hackerlar, yksek seviyede bilgisayar uzmanlna

Si

na

st

CEH CHAPTER 1

sahiptirler ve tamamen gvenilir insanlardr. Ethical hackerlarda kendi ilerinde kategorilere ayrlr. Bunlar : Former Black Hats : Bu grup, defans tarafnda bulunan eski crackerlarn slah olmu halidir. Tecrbe skntlar olmad iin gvenlik ile ilgili konularda ok daha iyi bilgiye sahiptirler ve doru bilgiye ulaabilirler.Yine ayn nedenlerden dolayda gvenilirlik kazanamazlar. White Hats : Daha ncede bahsetmitik. Bu vatandalar Black hatlerden daha stn olduklarn iddia ederler. Bununla birlikte black hatler kadar verimli bilgi toplayabildikleri grlmtr. Bunlar tekil veya grup eklinde bamsz gvenlik danmanlar olarak alrlar. Consulting Firms : 3. Parti gvenlik deerlendirmelerine talebi artrmak iin ICT danmanlk servislerinde grlen bir eilimdir. Bu firmalar sahip olduklar yetenekler ve sicilleri ile vnrler.

Ethical Hackerlar Ne Yapar :

Hacking Etik Olabilirmi :

Hacking ifadesi, ok fazla kt hrete sahip ve ykclk veya istenmeyen faaliyetlerde bulunmay ifade eder. Herhangi bir yetkisiz giriimin su olduu gereinde hackingin etik olmas dndrcdr. sim olarak hacker, bilgisayar sistemlerinin ayrntlarn renmekten holanan ve yapabildiklerini zorlayan kiidir. Fiil olarak hacking, hzl bir ekilde yeni programlar oluturmak veya reverse engineering ile mevcut programlar zerinde kod dzeltilmesi veya daha verimli hale getirilmesidir. Cracker ifadesi, hacking bilgisini saldr amac ile kullanan kiidir.
9

Si

Bir ok ethical hacker, kt niyetli hacker aktivitelerini bu ilemler iin grevlendirilmi gvenlik takmnn bir paras olarak tespit edebilir. Bir ethical hacker ie alndnda firmaya korunacak olan eyi, kimden korunacan ve hangi irket kaynaklarnn koruma salamak iin kullanlacan sorar.

na

Hackerlar sisteme zorla girerler. Yaygn inann aksine bunu yapmak, genelde hackerca bir mkemmelik iin gizemli bir srama yapmak anlamna gelmez. Bir ok cracker sradan insanlardr.

Ethical hackerlar farkl nedenlerden dolay harekete geerler fakat nedenleri genellikle crackerlar ile ayndr. Onlar hedef network veya sistem zerinde bir saldrgann ne grdn ve bu bilgi ile ne yapacan belirlemeye alrlar. Network veya sistem zerindeki test ilemine penetration test ad verilir.

st

CEH CHAPTER 1

Ethical hacker ifadesi, hacking bilgisini defansif ama iin kullanan gvenlik uzmanlardr. irketler, sistemlerindeki savunmasz olan ksmlar deerlendirme ve gvenlikteki hatalarn dzeltme ihtiyacn farketmeye balamlardr. Bu durum ethical hackerlara ihtiyac dourmutur. Aslnda sistemlerin denetimi gvenlik hatalarna kar kontrol amacyla gvenlik deerlendirmesini kapsar. Crackerlar, daha nceden tespit edilemeyen zaaflardan faydalanmaktan gurur duyarlar ve bundan dolay methodolojik yaklam kafi gelmez. Firmalar crackerlar gibi dnen ve onun hareketlerini tahmin edebilen, bilgiye zarar vermeden veya tehlikeye drmeden ilemler yapabilecek birilerine ihtiyalar vardr. Bunlarda yeni tr hackerlar olan Ethical Hacker larda grlr. Ethical hacking, alma ortamlarndaki mevcut bilginin zaaflarn bulmak iin ethical hackerlar tarafndan yntembilimsel olarak benimsenmi geni bir tarifidir.Ethical hackerlar genelde kt niyetli saldrganlar ile ayn aralar ve teknikleri kullanr. Fakat ne sisteme zarar verirler nede bilgiyi alarlar. Onlarn ii hedefteki gvenlii deerlendirmek ve irketteki gvenlik aklarn bulmak ve bunun etkisini azaltmak iin uygun tavsiyelerde bulunmaktr. Nasl Ethical Hacker Olunur :

Bir ethical hacker olmak iin gerekli olanlar :

Programlama ve networking seviyesinin ok iyi olmas Saldrya ak ksmlar bulmak konusundaki aratrmalar iyi bilmek Farkl hacking tekniklerinde usta olmak

Bir Ethical Hackern Ustalk Profili : Bilgisayar uzman teknik konularda ustadr. Hedef platformlar hakknda tam bir bilgiye sahiptir. Networking , donanm ve yazlm konusunda mkemmmel bilgiye sahiptir. Gvenlik alannda ve ilikili konularda ok bilgilidir. Bir saldr srasnda hackerlarn neler yapabileceinden bahsetmitik. Bu durumdaki eylemler bir bilgisayar uzmannda seviye profile gerektirir. Ethical hackerlar, ok gl bilgisayar bilgisine ki bunun iinde programlama ve networking de dahil sahip olmalar
10

Si

Kat bir ekilde kanunlar takip etmesi gerekir.

na

st

CEH CHAPTER 1

gerekir. Ethical hackerlar hedef sistemde kullanlan iletim sistemlerinin yklenmesi ve bakm konusunda da usta olmak zorundalar. Ethical hackerlarn daima gvenlik konusunda ek uzamanlamaya ihtiyalar yoktur. Bununla birlikte farkl sistemlerin kendi gvenliklerini nasl salayacan bilmeleride bir avantajdr. Bu sistemleri ynetmekteki beceri gerek zaaflklarn testi ve test gerekletikden sonra raporlarn hazrlanmasda gereklidir. Bir ethical hacker kt niyetli olan bir hackerdan herzaman bir adm nde olmal ve ok byk bir sabr ve devaml bir konsantrasyona sahip olmaldr.Tipik bir deerlendirme gnlerce srebilir, belkide testlerden sonra analizler haftalarca srebilir. Ethical hacker, sistemde bilmedii bir eyle karlarsa sistem hakknda her eyi renmesi zamann alacaktr ve sistemindeki ak noktay bulmaya alacaktr. Son olarak bilgisayar ve network gvenlik ihtiyalarnn devaml deitii dnyada ethical hacker kendini devaml olarak eitmelidir.Ethical hacker kt niyetli olan hackern ykc metoduna karlk yapc metodlar kullanmaldr. Ethical hackern yapt ilerin arkasnda sistemi aklardan korumak ve dzeltmek bulunur. Vulnerability Research Nedir ? :

Vulnerability Aratrmasna Neden ihtiya var : Networkteki aklar bulmak ve dzeltmek

Gvenlik sorunlarn engellemeye yardmc olmak iin bilgi sahibi olmak Virsler hakknda bilgi toplamak Networkteki zayflklar bulmak ve network saldrsndan nce network adminini uyarmak Network saldrsndan nasl kurtulunacan bilmek

Vulnerability Research Aralar : US-CERT (United States Computer Emergency Readiness Team), US-CERT Vulnerabilities Notes ad altnda eitli zayf noktalar ieren bir bilgi yaymlar. Bu liste :
11

Si

Saldrganlarn yaptklar ataklara kar network korumak

na

Vulnerability Research, bir sisteme saldry salayabilecek olan ak noktalar bulmak ve zayflklarn plann yapmaktr. Bir ok web sitesi ve aralar ethical hackerlara sistemleri veya networklerindeki savunmasz blmleri ieren listeler ve muhtemel exploitler konusunda yardmc olur. Sistem adminlerinin temel grevi sistemlerin korumak iin yeterli miktarda virsler, Trojanlar ve exploitlere kar kendilerini gncel tutmalardr.

st

CEH CHAPTER 1

Alarmlara benzer fakat daha az bilgi ierir. Tm aklar iin zmler iermez Belli kritere uyan zayflklar ierir. Admin iin kullanl bilgi ierir. Common Vunerabilities and Exposures (CVE) katalou ile karlatrlmas yaplabilir.

Vulnerability Aratrma Siteleri : www.securitytracker.com www.microsoft.com/security www.securiteam.com www.packetstormsecurity.com www.hackerstorm.com www.hackerwatch.com

Ethical Hacking Nasl Yaplr :

Client ile konuarak test boyunca ihtiyalarn belirlemek Client iin NDA (Nondisclosure Aggrement) dkmannn hazrlanmas ve imzalatlmas Ethical hacking takmnn ayarlanmas ve testing ilerinin takvime balanmas Testin yrtlmesi Test sonucunun analiz edilip raporunun hazrlanmas Clienta hazrlanan raporun teslim edilmesi

Si

na

Ethical hacking yapsal veya organizasyon nedenlerinden dolay yrtlr ve etki testleri veya gvenlik denetiminin bir paras olarak yaplr. Test edilecek olan sistemin veya uygulamann testinin derinlii ve genilii clientn ihtiyac ve ilgisine bal olarak belirlenir. Bir firmadaki gvenlik denetiminin admlar :

12

st

CEH CHAPTER 1

How Do They Go About It (Gvenlik Deerlendirme Plannn Hazrlanmas) : Gvenlik testleri aamada gerekletirilir. Hazrlanma, Uygulama ve Bitirme. Preparation : Bu aamada ethical hacker davalara kar koruyacak olan, hem yasal madde ieren hemde aklanmayan maddeleri ieren resmi bir kontrat imzalanr. Bu kontratta ayrca, altyapnn snr izilir, deerlendirme ilemleri, zaman izelgesi, testin kapsam, testin tr (White, black veya grey box) ve emrindeki kaynaklar belirtilir. Conduct : Bu aamada deerlendirme teknik raporu test edilen potansiyel aklklara gre hazrlanr. Conclusion : Deerlendirmenin sonucu firma sponsorlar ve dzeltecek olan danmanlar ile konuulur ve gerekli ise yaplacak iler belirlenir. Gvenlik deerlendirmesi, irketin neyi koruyaca, kime kar koruyaca ve maliyeti gibi sorulara dayanr. Bu adan bakldnda gvenlik plan zayflklara kar yaplan testte belirlenen sistemlerin tanmlanmasna gre hazrlnams gerekir. Dier bir konu deerlendirmenin nasl yaplacadr. Ethical hackingi uygulamann bir ok yolu vardr. Ethical Hack eitleri :

Ethical Hackerlar, irket gvenliindeki delikleri tespit etmek iin, simule edilen saldr veya etki testi boyunca bir ok yntem kullanrlar. En fazla kullanlan yntemlerin bazlar : Remote Network : Remote Network hack yntemi saldrgann internet zerinden atak yapmasn simle eder. Ethical hacker, firewall, proxy veya router gibi networkn darya kar olan savunmasnda ak bulmaya veya krmaya alr. Remote Dial-up Network : Bu tr hack yntemi bir saldrgann irketin modemlerine kar yapaca saldrnn simlasyonunu yapar. War dialing yntemi ile devaml aramalar gerekletirilerek ak sistem bulunmaya allr ve rnek bir saldr gerekletirilir. Burada ana hedefler PBX birimleri, fax makineleri ve merkezi ses mail serverlardr. Local Network : Bu testte Local networkten fiziksel olarak eriime sahip birinin yetkisiz giri yapabilmesi test edilir. Burada teslim alnacak olan birincil yerler, firewalllar, ierdeki web serverlar ve server gvenlik konulardr. Stolen Equipment : Bir alana ait laptop gibi kritik bilgiye sahip olan cihazlarn alnmas test edilir. Bu bilgiler, kullanc ad, ifreler, gvenlik ayarlar veya ifreleme trleri gibi bilgiler olabilir.

Si

na

13

st

CEH CHAPTER 1

Social Enginnering : Bu saldr, telefon veya yz yze konuma ile firma alanlarnn bilgilerinin kontrol edilmesidir. Social enginnering kullanc ad, passwordler ve dier gvenlik bilgilerini elde etmek iin kullanlabilir. Physical Entry : Bu saldr testinde, firmann fiziksel yapsn tehlikeye drecek denemelerde bulunulur. Fiziksel eriimi gerekletiren ethical hacker, virsler, Trojanlar, rootkitler veya keylogger yerletirebilir.

Ethical Hacking Test eitleri : Gvenlik veya etki testi yaplaca zaman ethical hacker sistem zerinde bir veya daha fazla test eidi uygulayabilir. Her bir eit test saldrgann hedef hakkndaki farkl seviyedeki bilgisini simle eder. Test eitleri :

White box : Network adminin sahip olduu tm network altyaps hakkndaki bilgiler kullanlarak test ve gvenlik deerlendirilmesinin yaplmasdr. Grey box : erden testin ve gvenlik deerlendirilmesinin yaplmasdr. Bu test networkte bulunan ierdeki birinin eriim boyutu hesaplanmaya allr.

Ethical hacking raporu gizli tutulmaldr nk irketin gvenlik riskleri ve saldrya ak olan yerleri belirtilmitir. Hack inin Yasal Ynn Anlamak : Bir ethical hacker, bir sistemi yasad olarak hacklemenin cezalarn bilmek zorundadr. Bir networke grime testi veya gvenlik denetimi ile ilgili ilemler hedef firma tarafndan gerekli izinlerin olduu imzal yasal dkmanlar olmadan yaplmamaldr. Ethical hackerlar kendi hacking becerileri ile tedbirli olmaya ve bu becerilerini ktye kullanmalarnn sonularnn neye mal olacan bilmelerine ihityalar vardr.

Si

Network etki testi veya gvenlik denetiminin sonucu bir ethical hacking raporudur. Bu rapor, hacking aktivitelerinin detaylarn, yaplan testin trn ve kullanlan hacking yntemini ierir. Bu sonular daha nceki Conduct Security Evaluation aamas ile karlatrlr. Her trl saldrya ak olan ksmlar detayl olarak tanmlanm ve kar nlemler tavsiye edilmitir. Bu dkman genelde firmaya hard-copy formatnda teslim edilir.

na

Ethical Hacking Report :

14

st

Black box : Bu test, daha nceden testi yaplmaypda herhangi bir bilgiye sahip olunmayan sistemler ve network altyapsnn test edilmesi ve gvenlik deerlendirilmesinin yapld test trdr. Bir kt niyetli saldrgan tarafndan irketin dardaki ksmna yaplan saldry simle eder.

CEH CHAPTER 1

Bilgisayar sular iki geni kategoride toplanabilir : Bir bilgisayar ile sua olanak tanmak ve bilgisayarn hedef olduu sular. Bilgisayar sular ile ilgili iki nemli Amerika yasas ilerleyen blmde aklanmtr. Her nekadar CEH ululararas kapsamda olsada, hackinge kar Amerika kanunlarn ve cezalarn kendinize altrn. Unutmayn, ama hackerI kanunlarn zerinde tutmaz;hatta bir ethical hacker hakknda kanunlara uymad iin dava alabilir. Cyber Security Act of 2002, dier insanlarn hayatn dnmeden tehlikeye atan hackerlar iin mr boyu hapis cezasn garantiler. Tama sistemlerin, enerji irketlerine veya dier kamu servislerine veya aralarnn bilgisayar networklerine saldr yaparak, yaam tehdit eden kt niyetli hackerlar bu kanuna dayal olarak dava alabilir. 18 U.S.C. 1029 ve 1030 Numaral Amerika Yasasn Anlamak: U.S Code, Amerika kanunlarn balklara gore categorize eder ve tanmlar. Balk 18 detaylar Crimes and Criminal Procedure. Section 1029, Fraud and related activity in connection with access devices, unu ifade eder; bir eriim cihaznn veya iletiim aletinin taklidini yapmak, satmak veya kullanmak suretiyle sahtekarlk yapmak ve servisleri ve rnleri bir deer veya 1000 dolar ile elde etmek kanunlar inemektir. Section 1029 bilgisayar ifrelerini ve eriim kartlar gibi dier eriim cihazlarn kt amal olarak kullanlmas suretiyle su ilenmesini belirten blmdr. Section 1030 Fraud and related activity in connection with computers, korunan bilgisayarlara izinsiz girilmesini ve hasar verilmesini yasaklar. Bu kanun, wormlar ve virsleri datmay ve yetkisiz olarak sistemlere girmeyi su olarak kabul eder.

Si
15

na

st

CEH CHAPTER 2

Footprinting ve Social Engineering

Footprinting, hazrlk niteliinde, atak ncesi blmn bir parasdr ve hedefin bulunduu ortam ve mimarisi hakknda bilgi toplamay ifade eder, genelliklede ama, saldrlacak ortama zorla girmek iin yollar aramaktr. Footprinting , sistemin savunmasz yerlerini aa karabilir ve hackerlarn smrebilecekleri kolay yerleri belirler. Bu yol, hackerlar iin bir bilgisayar sistemi veya bu sisteme sahip olan irketler hakknda bilgi toplamann en kolay yoludur. Bu hazrlk aamasnn amac, sistem hakknda olabildiince fazla bilgi toplamak, uzaktan eriim imkanlarn renmek, portlar ve servisleri ve gvenlii ile ilgili zel bilgileri ele geirmektir. Footprinting Kavramnn Tanm : Footprinting, bir irket networknn ve sistemlerinin bir kopyasn veya haritasn yaratma iidir. Bilgi toplama ayrca bir irketin ayak izi olarakta bilinir. Footprinting, hedef sistemi, uygulamalar ve hedefin fiziksel lokasyonunu belirlemek ile balar. Birkez bu bilgiler ele geirildiinde irket hakknda zel bilgiler normal yoldan elde edilir. rnein, bir irketin web sayfas, hackern bir hedefe ulamak iin social enginnering yapabilmesini salayacak olan bir personel dizini veya alanlarn hayat ile ilgili bilgiler tutuyor olmas gibi. Bir hacker ayrca google veya yahoo zerinden arama yaparak alanlar hakknda bilgilerede ulaabilir. Google arama motoru, bilgi toplama iini gerekletirebilmek iin yaratc yntemler ile kullanlabilir. Google arama motorunu kullanarak bilgiyi elde etmeye Google hacking olarak isimlendirilir. http://groups.google.com adresi Google habergruplarnda arama yapmak iin kullanlabilir. Aadaki komutlar Google hackingi gerekletirmek iin kullanlacak komutlar belirtir : Site : Belirli bir web sitesi yada domaini arar. Aranlacak web sitesi (: ) iaretinden sonra belirtilmeli. Filetype: Belirli trde dosyada ve sadece text iinde arama yapar. Arama yaplacak dosya tipi (: ) iareti sonrasnda belirtilmelidir.Dosya uzantsndan nce nokta olmamal. Link : Aranlacak terimi balantlar iinde arar ve bal sayfalar belirtir. Cache : Bir web sayfasnn versiyonunu bulur. Web sitesinin URL adresi (: ) iaretinden sonra belirtilmeliidir. Intitle : Aranlacak terimi dkman iinde arar. Inurl : Bir dkman URL (Web adres) iinde arar. Aranlacak kelime (: ) iaretinden sonra yazlmaldr. Bir hacker rnek olarak u komutu Google arama motorunda kullanabilir :

INURL:["parameter="] with FILETYPE:[ext] and INURL:[scriptname] , bu komut ile

belirli tipteki savunmasz web uygulamalarn bulabilir. Veya bir hacker u arama dizisini kullanarak Novell BorderManager Proxy/Firewall serverlar bulabilir: intitle: "BorderManager information alert" Bloglar, habergruplar ve basn, irketler ve alanlar ile ilgili bilgi toplamak iin uygun yerlerdir. irket i kaytlar irketin networknde kulland serverlar veya altyap cihazlar hakknda bilgi salayabilir. Elde edilen bilgi iinde, kullanlan internet

Si na

16

st

CEH CHAPTER 2

teknolojileri, iletim sistemi ve kullanlan donanm, aktif Ip adresleri, mail adresleri ve telefon numaralar ve irket politikalar ile prosedrleri bulunabilir. Not : Genellikle bir hacker hedef ile iligili bilgi toplamak ve profilini karmak iin zamannn %90n harcar, atak iinse zamannn %10u harcar. Bilgi Toplama Yntemi : Bilgi toplama 7 mantksal adma blnebilir. Footprinting ilemi, bilgiyi ortaya karmak ve network alann belirlemenin ilk iki admnda gerekleir. Not : Dier bilgi toplama admlar Chapter 3 iinde bulunmaktadr.

ekil 1 :Bilgi toplamann 7 adm

Bilgi toplamada yaygn olarak kullanlan baz kaynaklar : - Domain ismi arama - Whois - Nslookup - Sam Spade Bu aralardan bahsetmeden nce unumaynki ak kaynaa sahip bilgi, hedef, telefon numaralar ve adresler hakknda bilgi bolluu salayabilir. Whois isteklerini gerekletirmek, DNS tablolarn aramak ve ak portlar iin Ip adreslerini taramak, dier ak olan kaynaklar footprinting biimleridir. Bu bilgileri ele geirmek olduka kolay ve yasaldr. DNSin nasl iledii ve DNS kaytlarnn zellikleri, bu kitabn konusu dndadr ve detaylarndan bahsedilmiyecektir. Bilgi toplamann zellii ile ilikili en nemli detaylar bu kitabn kapsamndadr. Tm Ceh adaylarnn DNS bilgisine sahip olmas ve isim zmlemenin internet zerinde nasl gerekletii bilgisine sahip olmas tavsiye edilir.

Si na

n
17

st

CEH CHAPTER 2

Sam Spade (www.samspade.org) , Whois, nslookup ve traceroute gibi aralar bulunduran bir sitedir. Web sitesi zerinden alt iin bu aralar her trl iletim sisteminde alabilir.

Competitive Intelligencen Aklamas :

Competitive Intelligence, rakip rnler, pazarlama ve teknolojiler hakknda bilgi

toplamak anlamna gelir. Bir ok rekabet ile ilgili yaplan istihbarat, firmay normal yollardan aratrmaktr ve tehlikesizdir. Bu, rn karlatrmas veya rakibin kendi rnlerini ve servislerini nasl konumlandrdn anlamak iin sat ve pazarlama taktiklerini renmekte kullanlr. Competitive Intelligence (Rekabet iin istihbarat) konusunda bir ok ara bulunur ve hackerlar bu aralar bilgi toplamak iin potansiyel birer ara olarak kullanrlar.

DNS Enumeration (DNS Dkm)n Anlamak :

Dns enumeration, tm DNS serverlarn yerini ve irket ile iligili kaytlarn belirleme

Nslookup ve DNSstuff :

Whois zerinden bilgi toplanyorsa, nslookup kullanlarak serverlarn ve bilgisayarlarn Ip adreslerinide bulabilirsiniz. Whoisden (AUTH1.NS.NYI.NET) yetkili name server bilgisi kullanlarak mail servern IP adresi bulunabilir. Kolay kullanlabilir aralar sayesinde hackingi daha kolay hale getirmitir, tabi hangi arac kullancanz biliyorsanz. DNSstuff bu aralardan biridir. Komut satrndan nslookup aracn skc parametreleri ile kullanmak yerine sadece http://www.dnsstuff adresine eriip online olarak DNS kayt bilgileri toplanabilir.

Si na

Aina olmanz gereken en gl aratr. Bu ara DNS serverlara kayt bilgileri iin sorgular gnderir. Bu ara, Linux, Unix ve Microsoft iletim sistemleri iinde gml olarak bulunur. Ayrca Sam Spade gibi hacking aralarda bu arac ierir.

18

st

ilemidir. Bir irket, hedef sistemler ile ilgili kullanc adlar, bilgisayar isimleri ve IP adresleri gibi bilgiler salayan dahili ve harici DNS serverlara sahip olabilir. NSlookup, DNSstuff, the American Registry for Internet Numbers (ARIN) ve Whois DNS enumeration ilemini gerekletirmek amacyla bilgi toplamakda kullanlabilir.

CEH CHAPTER 2

Aadaki ekil, dnsstuff.com sitesi kullanlarak http://www.eccouncil.org sitesi zerinde online olarak DNS kayt arama rneini gsterir. Bu arama, http://www.eccouncil.org sitesinin tm alias kaytlarn ve Web servern IP adresini meydana karr. Siz, tm name servarlarn ve ilikili IP adreslerini de bulabilirsiniz.

ekil 2 : Eccouncil zerinde DNS kayt aramas. Whois ve ARIN Aramalar :

Smart Whois, IP adresi, host ismi veya domain, lke, ehir, network salayc, administrator ve tekni k destek kontak bilgisi hakknda tm ulalabilir bilgilerin bulunmasn salayan bilgi toplama programdr. Smart Whois program basit Who is programnn grafiksel versiyonudur.

ARIN, statik adreslerin sahibi gibi trden bilgiyide ieren bilgi veritabandr. ARIN veritaban Whois arac kullanlarak sorgulanabilir. http://www.arin.net/whois gibi. Aadaki ekil, http://www.yahoo.com iin ARIN Whois aramasn gsteriyor. Adresler, amail adresleri ve kontak bilgilerinin hepsi Whois aramasnn iinde olduuna dikkat edin. Bu bilgi hackerlar tarafndan belli IP adresinden kimin sorumlu olduunu ve hedef irketten kimin sorumlu olduunu bulmak iin kullanlabilir veya kt niyetli bir hacker tarafndan irkete kar social engineering ataklar iin kullanlabilir. Bir gvenlik uzman olarak ARIN gibi halka ak olarak arama yaplabilen

Si na

Whois, Unix iletim sistemi tarafndan gelitirilmitir fakat u anda tm iletim sistemleri iinde ve ayn zamanda hacking aralarnda ve internet zerinde bulunmaktadr. Bu ara, web sitelerini ve email adrelerinin kimin tarafndan kayt ettirildiklerinin bulunmasn salar. Bir Uniform Resource Locator (URL), rnein www.microsoft.com adresi Microsoft.com domain ismini ve www alias veya host ismini ierir. The Internet Corparation for Assigned Names and Numbers (ICANN) kurumu, sadece bir irketin belirli bir domain ismini kullanmasn salamak iin domain isimlerini kaydeder. Whois arac, domain kaydn tutan irket veya tekil kiinin kontak bilgilerini almak iin kayt veritabann sorgular.

19

st

CEH CHAPTER 2

veritabanlarndan bu tr bilgilerin olmamasn salamalsnz ve kt niyetli bir hackern networke kar bir saldr iin kullanamyacandan emin olmalsnz.

Not : Kuzey Amerika dndaki blgeler iin kendi intenet kayt kurumlarnn olduunun bilinmesi gerekir. Bunlar arasnda RIPE NCC (Avrupa, Orta Dou ve Orta Asyann bir ksm), LACNIC (Latin Amerika ve Karayip) ve APNIC (Asya Pasifik) rnek gsterilebilir.
Whois ktsn Analiz Etmek : Whoisi altrmann basit yolu, web sitesine balanmak ve Whois aramasn gerekletirmektir. Aadaki kt, www.eccouncil.org sitesinin Whois arama sonucudur.

Not : Kontak isimleri ve server isimleri deitirilmitir.

Domain ID:D81180127-LROR Domain Name:ECCOUNCIL.ORG Created On:14-Dec-2001 10:13:06 UTC Last Updated On:19-Aug-2004 03:49:53 UTC Expiration Date:14-Dec-2006 10:13:06 UTC

Si na

ekil 3 : http://www.yahoo.com iin ARIN kts.

20

st

CEH CHAPTER 2

Sponsoring Registrar:Tucows Inc. (R11-LROR) Status:OK Registrant ID:tuTv2ItRZBMNd4lA Registrant Name: John Smith Registrant Organization:International Council of E-Commerce Consultants Registrant Street1:67 Wall Street, 22nd Floor Registrant Street2: Registrant Street3: Registrant City:New York Registrant State/Province:NY Registrant Postal Code:10005-3198 Registrant Country:US Registrant Phone:+1.2127098253 Registrant Phone Ext.: Registrant FAX:+1.2129432300 Registrant FAX Ext.: Registrant Email:forum@eccouncil.org Admin ID:tus9DYvpp5mrbLNd Admin Name: Susan Johnson Admin Organization:International Council of E-Commerce Consultants Admin Street1:67 Wall Street, 22nd Floor Admin Street2: Admin Street3: Admin City:New York Admin State/Province:NY Admin Postal Code:10005-3198 Admin Country:US Admin Phone:+1.2127098253 Admin Phone Ext.: Admin FAX:+1.2129432300 Admin FAX Ext.: Admin Email:ethan@eccouncil.org Tech ID:tuE1cgAfi1VnFkpu Tech Name:Jacob Eckel Tech Organization:International Council of E-Commerce Consultants Tech Street1:67 Wall Street, 22nd Floor Tech Street2: Tech Street3: Tech City:New York Tech State/Province:NY Tech Postal Code:10005-3198 Tech Country:US Tech Phone:+1.2127098253 Tech Phone Ext.: Tech FAX:+1.2129432300 Tech FAX Ext.: Tech Email:forum@eccouncil.org Name Server: ns1.xyz.net Name Server: ns2.xyz.net

Si na

21

st

CEH CHAPTER 2

Kaln olarak yazlm satrlara dikkat edin. Birincisi hedef irket veya kiiyi gsteriyor (Ayn zamanda fiziksel adresi, mail adresi, telefon numaras vs.). Bir sonraki, ynetim veya teknik destek salayan kiiyi ve bilgilerini gsteriyor. Son iki kaln olarak yazlm olan bilgi ise domain isim server larn (Name serverlar) gsteriyor. Networkn Adres Araln Bulmak : Her ethical hacker, hedef sistemin ip adres araln ve subnet mask bilgisinin nasl bulancan bilmesi gerekir. Ip adresler, hedef sistemin yerini belirlemek, tarama yapmak ve balant kurmak iin kullanlr. Ip adreslerini ARIN veya IANA (Internet Assigned Numbers Authority) gibi internet kaytlarndan bulabilirsiniz. Bir ethical hacker ayrca, hedef sistem veya networkn corafik yerini bulmak isteyebilir. Bu grev hedef IP adrese gnderdii mesajn izini takip ederek gerekletirilebilir.Hedefin yolunu belirlemek iin, Traceroute, VisualRoute ve NeoTrace gibi aralar kullanlabilir. Ayrca hedef network takip ederken baka nemli bilgilerde ele geirilir. rnein, bilgisayarlarn ierde kullandklar IP adresleri, hatta irketin Internet IP gatewayleri listelenebilir. Bu adresler daha sonra gerekletirilecek saldr ve tarama ilemleri iin kullanlr. Farkl DNS Kaytlarn Tanmak :

TraceRoute Uygulamasnn FootPrinting inde Kullanm : Traceroute bir ok iletim sisteminde bulunan paket takip aracdr. Yol zerindeki her bir hop noktasna (router veya gateway) Internet Control Messaging Protocol (ICMP) echo paketlerini, hedefe ulaana kadar gnderme mantyla alr. Her bir hop noktasna gnderilen ICMP mesajndaki Time to Live (TTL) deeri bir drlerek tekrar geri gnderilir. lk gnderilen ICMP paketindeki TTL deeri 1dir. Bu paket yol zerindeki ilk routera gelir. Router paketteki TTL deerini 1 eksiltir ve sfr yapar. TTL deeri sfr olduu iin paket bir sonraki hop noktasna gnderilmez ve ICMP paketini gnderen kaynaa echo reply mesaj gnderilir. lk routermz salam ve ayaktadr, kaynak TTL deeri 2 olan bir ICMP paketi daha gnderir. Yine yol zerindeki ilk router paketi alr ve TTL deerini bir drr ve 1 yapar ve yol zerindeki bir sonraki routera paketi gnderir. kinci routerda ayn ilemi gerekletirir ve bu ekilde devam eder taki hedefe ulalana kadar. Bu ilem hackera, yol zerinde ka tane router olduunu renmesini salar.

Si na

Aadaki liste yaygn DNS kayt tiplerini ve kullanmlarn listeler : A (Host Kayt) : Host ismini Ip adresine eletirir. SOA (Start of Authority) : Domain bilgisinden sorumlu olan yetkili DNS server gsterir. CNAME (Canonical Name) : A kayt iin ek isimler veya tak salar. MX (Mail Exchanger) : Domain iin mail server ismini salar. SRV (Service Locator) : Dizin servisleri gibi servisleri salayan bilgisayarlar verir. PTR (Pointer) : Ip adresi host ismine eletirir. NS (Name Server) : Domain iin yetkili olan dier name serverlarn isimlerini verir.

22

st

CEH CHAPTER 2

Traceroutedaki bir sorun, bir firewall veya paket filtreleme yapan router ile karlaldnda zaman amna uramasdr (* iareti ile gsterilir). Bununla beraber bir firewall, ierdeki hostlarn bulunmasna karlk traceroute aracn durdurur, bir firewalln olduuna dair ethical hacker uyarr sonrada firewall gemek iin farkl teknikler kullanlabilir.

Not : Bu teknikler sistem hacking konusudur ve 4. Chapterda grlecektir.

Sam Spade ve bir ok hacking arac iinde bir traceroute versiyonu bulunur. Windows iletim sistemleri traceroute ilemini gerekletirmek iin tracert hostname (veya IP adresi) komutunu kullanr. Aadaki ekil www.yahoo.com adresi iin traceroute ktsn gsteriyor. ekildeki ilk meydana gelen olayn ISPnin Yahoo web serverna ulatrdn ve servern IP adresini 68.142.226.42 olarak meydana kardna dikkat edin. Bu Ip adresini bilmek ethical hackera, saldrnn tarama aamasnda bu host zerinde ek taramalar salayacaktr.

ekil 4 : www.yahoo.com adresi iin traceroute kts Tracert, hedef networkn yolu zerindeki routerlar belirler. Routerlar genellikle fiziksel lokasyonlarna uygun olarak isimlendirilir ve tracert komutu sonucundaki bilgiler bu cihazlarn yerinin tespit edilmelerini salar.
NeoTrace, VisualRoute ve VisualLookout, bir GUI veya grsel arayze sahip paket izleme aralardr. Bunlar paketin izledii yolu bir harita zerinde izer ve grsel olarak routerlarn ve dier balant salayan cihazlarn lokasyonlarn grsel olarak gsterir. Bu aralar traceroute ile benzer ekilde alr ve ayn bilgiyi salar bununla birlikte sonular E-Mail olarak sunar. grsel Takibinin Nasl altn Anlamak :

E-mail takip programlar gnderen kiiye, mailin alndna, okuduuna, iletildiine, deiiklik yapldna veya mailin silindiine dair bilgi salar. Bir ok mail takip program, readnotify.com gibi mail adresine domain ismi ekleyerek alr. Maile alcnn gremiyecei tek pikselli bir grafik dosyas eklenir. Sonra, mail zerinde bir ilem gerekletirildiinde bu grafik dosyas server ile balant kurar ve gnderene uyar verir.

Si na

n
23

st

CEH CHAPTER 2

eMailTracking Pro ve MailTracking.com bir ethical hackern mail mesajlarn takip etmek iin kullanabilecei aralardr. Bir mail gndermek, forward etmek, maili reply etmek veya mail zerinde deiiklik yapmak in bu aralar kullandnzda orjinal mailin izleri ve yaplan eylemlerin sonular loglanr. Gnderen kii, otomatik yaratlan bir mail vastasyla takip edilen mail ile ilgili tm eylemler hakknda uyarlr.

Web rmcekleri Nasl alr : Spamclar ve mail adresleri toplamaktan holananlar haricindekiler Web rmceklerini kullanabilirler. Bir web rmcei, mail adresleri gibi belirli bilgiyi toplamak iin web sitelerini tarar. Web rmcei, @ gibi kodlama kullanarak mail adreslerini tespit eder ve bunlar listeye ekler. Bu adresler daha sonra veritabanna eklenir ve belkide istenmeyen mailler gndermek iin kullanlr. Web rmcekleri internet zerindeki her trl bilgiyi elde etmek iin kullanlabilir. Bir hacker, bir web rmcei kullanarak bilgi toplama ilemini otomatie balayabilir. Web sitenizin bu rmcekler tarafndan ziyaret edilmesini nlemenin yolu, web sitenizin rootuna korumak istediiniz dizinlerin listesini bulunduran robots.txt dosyasn koymaktr. Social Engineering :

Social engineering, insanlar kandrmak iin nfuz ve ikna kabiliyetini kullanmak suretiyle bilgi edinmek veya baz eylemleri gerekletirmek iin kurban kandrma iidir. Bir social engineer, hassas bilgiyi ele geirmek veya irketin gvenlik politikalarna karn bir eyler yapmalarn istemek amacyla insanlar faka bastrmak iin yaygn olarak internet veya telefonu kullanr. Bu yntemle social engineerlar, bilgisayarlardaki gvenlik aklarndan yararlanmak yerine insanlarn doal eilimlerini smrerek kendi kelimelerine inanmalarn salar. Genelde kabul edilen nokta udur ki, kullanc gvenlik iindeki zayf halkadr. imdiki rnek Verisign firmasnda alan Kapil Raina tarafndan anlatlan gerek bir social engineering rneidir. Bir ka yl nce bir sabah, bir grup yabanc bir tama firmasna girer ve irketin tm networkne eriirler. Bunu nasl yaptlar ? irketteki farkl alanlardan kk miktarlarda eriimler ile yava yava yaptlar bu ii. lk olarak, ana yerlere saldry balatmadan nce 2 gn boyunca irket hakknda aratrma yaplm. rnein, insan kaynaklarn arayarak, kilit noktadaki alanlarn isimlerini rendiler. Daha sonra n kapnn anahtarn kaybetmi gibi yaptlar ve biri onlar ieri ald. Daha sonra 3. Kattaki gvenlik blgesi iin kimlik kartlarn kaybetmi gibi yaptlar, glmsediler ve buna kanan bir alan onlara kapy at.

Si na

Social engineering, bir sistem veya networke girmek iin teknik olmayan bir yntemdir. Bu yntem, gvenlik mekanizmasn amak veya bozmak iin kullanlabilecek bilgiyi vermek amal, bir sistemin kullanclarn kandrmak eklinde iler. Social engineeringi iyi anlamak gerekir, nk hackerlar bir sisteme saldr yapmak iin insan faktrn kullanabilir ve bu sayede teknik gvenlik faktrlerini geebilir. Bu yntem, bir saldr ncesi veya saldr srasnda bilgi toplamak amal kullanlr.

24

st

CEH CHAPTER 2

Yabanclar, CFOnun ehir dnda olduunu biliyordu ve bu sayede odasna girip kilitli olan bilgisayardan finansal verileri aldlar. irket pn kartrdlar ve ie yarar olan tm dkmanlar buldular. Oda sorumlusundan (Kapc), aldklarn koyabilmek ve elde ettikleri tm verileri dar karabilmek iin p kovas istediler. Yabanclar CFOnun sesinide almlard, bu sayede telefon aabildiler, CFO gibi davranp tela iindeymi gibi, aresizce network ifresine ihtiyac olduunu bildirdiler. Sradan hacking tekniini kullanarak st seviyeden sisteme girdiler. Bundan dolay, yabanclar dier hi bir alann bilmedii CFO iin gvenlik denetimi gerekletiren network danmanlar idi. CFO tarafndan verilmi herhangi bir zel bilgi yoktu fakat social engineering sayesinde istedikleri tm eriimi elde ettiler. Social engineeringin en tehlikeli blm, saldrlara alabildiince ak olan VPNler, network monitoring programlar, firewalllar ve otantikasyon ilemlerine sahip olan irketlerdir, nk social engineering direk olarak gvenlik tedbirlerine saldrmaz. Bunu yerine bu tedbirleri atlar ve irketteki insan esini hedef alr. Hile Sanat : Social engineering, dardaki biri tarafndan hassas bilgiyi elde etme veya uygun olmayan eriim ayrcalklarn, uygun olmayan bir ekilde gven ilikisi kurarak elde etmeyi ierir. Social engineern amac, birilerini kandrarak deerli bilgiyi elde etme veya bu bilgiye ulamaktr. nsan doasnn zelliklerini av olarak kullanr rnein, yardm etme istei, insanlara gvenme eilimi, skntya dmekten korkma gibi. Uyumlu gibi gzken veya irketin bir paras gibi gzkebilen hackerlar, social engineering ataklarnda baarl olur. Uyumlu olabilme yeteneine yaygn olarak art of manipulation denir. Art of Manipulation kullanmna rnek olarak unu verebiliriz : Bir Computer Security Instute yneticisinin canl gsterisi, bir telefon irketi telefon ile aranmak istendiinde, telefonun istenen kiiye aktarlmas ve help deske ulaldnda help desklerin saldrya ak olduunu gsteriyor. Konuma yle geiyor : Bu gece kim sorumlu,Oh,Betty sorumlu, Betty ile grtr beni,[Bettyye aktarr],Merhaba Betty, berbat bir gece dimi? Hayr, Neden?...Sistemleriniz km Betty; benim sistemlerim kmedi, gayet gzel alyor, Bizim eleman;Sen en iyisi sistem k, Betty sistemden kar. Bizim eleman; tekrar sisteme gir, Betty tekrar sisteme girer. Bizim eleman;Bir sinyal bile grnmyor, deiiklik grmyoruz. Bizim eleman tekrar sistemden kmasn syler ve Betty denileni yapar.Betty, senin ID ile ne gibi bir sorun olduunu anlayabilmek iin senin adna sisteme girmem gerekiyo. Bana kullanc adn ve ifren lazm. Bylece ordaki ynetici kullanc adn ve ifresini verir. Bir ka dakika iinde hacker, kendisi iin gnlerce srebilecek olan bilgiyi, trafii yakalayarak ve ifre krarak elde eder. Social engineering ile bilgiyi elde etmek teknik aralardan ok daha kolaydr. nsanlar gvenlik zincirindeki en zayf halkadr. Baarl bir savunma, uygun politikalara sahip olma ve bunlar alanlara anlatmaktr. Social engineering, savunmaya kar saldrnn en sert eklidir, nk irket kendini donanm veya yazlm ile koruyamaz.

Si na

25

st

CEH CHAPTER 2

En Yaygn Saldr eitleri : Social engineering iki eide ayrlabilir :

Human based (nsan temelli): Bu tr social engineering, gerekli bilgiyi alabilmek iin
yz yze etkileime girilmesidir. rnek olarak help deskin aranlp, ifre istenmesi gibi.

Computer based (Bilgisayar temelli) : Bu tr social engineering ise, bilgisayar yazlm

ile istenilen bilgiyi almaya almaktr.rnek olarak, bir mail gnderilip bu mail iindeki web sitesi linkine tklatarak, onaylamak iin ifresini tekrar girmesini istemek. Bu social engineering yntemine phishingde denir. nsan Temelli Social Engineering : nsan Temelli social engineering, aadaki gibi geni bir ekilde kategorilere ayrlabilir : Bir alan veya geerli bir kullanc gibi davranmak : Bu tr social engineering ataklarnda hacker, sistem zerinde geerli bir kullancym gibi davranr. Hacker, sorumlu kimse, alan veya szlemeli biriymi davranarak sisteme fiziksel olarak eriim salar.Bir kez ieri girdiinde p kutularndan,masastlerinden veya bilgisayar sistemlerinden bilgileri toplar. nemli biriymi gibi davranmak : Bu atak eklinde hacker, acil olarak sisteme veya dosyalara erimek isteyen yksek seviyede ynetici veya idareci gibi davranr. Hacker, tehdit ve gzda vererek help deskteki bir alan gibi kendinden dk seviyedeki alann sisteme girmesi iin yardmn salar.Bir ok alanda yetkili grnen kiilere soru sormaktan ekinir. 3.ahs Kullanmak : Bu tr yaklamda, hacker sistemi kullanmak iin yetkili bir kaynaktan izinlere sahipmi gibi davranr. Bu atak zellikle yetkili kaynan tatile kt dnldnde veya dorulamann yaplabilmesi iin ulalamaz olduunda daha etkili olur. Teknik Destein Aranmas : Yardm iin teknik destein aranmas klasik bir social engineering yntemidir. Help desk ve teknik destek personeli insanlara yardm etmeleri ynnde eitilirler ve buda onlar social engineering saldrlar iin iyi birer kurban yapmaktadr. Sholder Surfing (aktrmadan Bakmak): Bu yntem, bir kullanc sisteme girerken omuz stnden daha dorusu aktrmadan ifreleri toplamaktr. p Kartrma (Dumpster Diving): Dumpster Diving, bilgilere eriimde para katlara veya bilgisayar ktlarna bakmak iin p kutularn kartrmak eklinde gerekleir.Hacker, sklkla ifreler, dosya isimleri veya baz nemli bilgilere bu ekilde ulaabilir. llegal bilgiye ulamanin daha gelimi yntemi reverse social engineering olarak bilinir. Bu teknik kullanlarak, hacker yetkili bir posizyondaki bir karakter yaratr ve

Si na

26

st

CEH CHAPTER 2

bylece alanlar hackera bilgiyi verirler. rnein, hacker help desk alan gibi davranp, ifreler gibi bilgileri isteyebilir. Bilgisayar Temelli Social Engineering : Bilgisayar Temelli saldrlar, aadakileri ierebilir : E-Mail aklentileri Sahte Web siteleri Popup pencereleri erdeki Kiilerden Saldrlar : Eer bir hacker, irketi hacklemek iin herhangi baka bir yntem bulamazsa, dier en iyi seenek bir alan olarak ie girmek veya saldrda yardmc olacak honut olmayan bir alan bulmaktr. erden yaplan saldrlar gl olabilir nk alanlar fiziksel olarak eriime sahiptir ve serbeste irket iinde dolaabilirler. rnek olarak, hacker,bir uniforma giyerek teslimat biriymi gibi davranlabilir ve teslimat odasna veya ykleme blmne girilebilir. Dier bir muhtemel ierden kii olma rnei ise temizleme eleman olarak davranmaktr. Bu sayede irket iinde, odalarda rahata dolaabilir. Son are olarak, hacker rvet verebilir veya bir alan saldrnn bir paras olmas iin mecbur edebilir. Kimlik Hrszl :

Phishing Saldrlar :

Phishing, genellikle bir banka, kredi kart firmas veya baka bir finansal firmadan gnderilmi gibi mail gnderilmesi eklinde yaplr. E-mail iinde maili alan kiinin banka bilgilerini dorulamas veya ifresini veya PIN numarasn sfrlamas istenir. Kullanc mail iindeki linke tklar ve sahte bir web sitesine ynlendirilir. Hacker daha sonra bu bilgileri yakalayabilir ve bir saldr balatmak iin kullanabilir. Bu saldrlar sradan insan avlar ve banka hesaplarna eriimi veya gizli bilgilere eriimi amalar. Online Dolandrclk : Baz siteler, cretsiz teklifler veya baka zel teklifler yaparak kurban ayartp belkide sisteme giri yapt ayn kullanc ad ve ifresini girmesini ister. Hacker kullancnn web sitesinden girdii geerli kullanc ad ve ifreyi kullanabilir. Mail ekleri, kurbann sistemine, otomatik olarak alan, ifreleri alan keylogger gibi kt niyetli kod gnderebilir. Virsler, wormlar ve trojanlar mailler iine ustalkla yerletirilip kurbann ekleri amas ikna edilebilir. Mail ekleri bilgisayar temelli social engineering saldrlarnda grlr. Gvenli olmayan bir mail ekinin alc tarafndan almasna bir rnek :

Si na

Bir hacker saldry gerekletirmek iin bir alan gibi davranabilir veya alann kimliini alabilir. p kutularn kartrarak veya omuz stnden aktrmadan bakarak toplanan bilgi sahte IDli kimlik kart yaratlarak irket iine girilebilir. Binaya girebilen bir kii yaratmak, kimlik kart almann tartlmaz amacdr.

27

st

CEH CHAPTER 2 Mail server report. Firewallmz sizin bilgisayarnzdan worm barndran bir mail gnderildiini belirledi. Bugnlerde bir ok bilgisayardan bu olay meydana gelmektedir, nk bu yeni bir virs eididir (Network worms). Windows iindeki yeni bir bug kullanan bu virsler farknda olmadan bilgisayara bulamaktadr. Virs bilgisayara nfuz ettikden sonra tm emailleri bulup topladktan sonra bu adreslere kendini kopyalayp gndermektedir. Wormu bertaraf etmek ve bilgisayarnz eski haline getirmek iin ltfen gncellemelerinizi ykleyin . En iyi dileklerimle, Mteri Destek Servisi

URL artma :

URLnin alm Uniform Resource Locatordr ve genellikle web taraycsnn adres ubuuna yazlarak bir web sitesine ulamak iin kullanlr. Terim olarak web sitesi adresidir. URL artma, URLyi saklama veya fake web adresini gerek gibi gstermektir. rnek olarak ; 204.13.144.2 / Citibank web adresi Citibankn gerek adresi gibi grnebilir fakat aslnda gerek deil. URL artmaca phishing saldrlarnda kullanlr ve bazen online dolandrclk, dolandrcl yasal gibi gsterir. Bir web sitesi adresi firmann gerek ismi ve logosu gibi grnebilir fakat ierdeki link sahte bir web sitesi veya Ip adresidir. Kullanc linke tkladnda hackern sitesine ynlendirilir. Adresler, hexadecimal veya decimal yazmlar kullanlarak kt niyetli linkler olarak gizlenebilir. rnek olarak ;192.168.10.5 adresi decimal olarak 3232238085 eklinde gsterilir. Aklama : 3232238085 Ayn adres hex deer olarak C0A80A05 gibi grnr. Bu dntrme 3232238085 saysn 16ya blmler ile gerekleir. Aklama : 3232238085/16 = 202014880.3125 (.3125 * 16 = 5) 202014880/16 = 12625930.0 (.0 * 16 = 0) 12625930/16 = 789120.625 (.625 * 16 = 10 = A) 789120/16 = 49320.0 (.0 * 16 = 0) 49320.0/16 = 3082.5 (.5 * 16 = 8) 3082/16 = 192.625 (.625 * 16 = 10 = A) 192/16 = 12 = C

Si na

28

st

Popup pencereleride ayrca bilgisayar temelli saldrlarda mail ekleri ile benzer amala kullanlr. Pop-up pencereleri zel teklifler veya cretsiz bir eyle kullancy tevik edip istemeyerek kt niyetli yazlmn yklenmesine neden olur.

CEH CHAPTER 2

Social Engineeringe Kar nlemler : Social Engineeringe kar nasl mcadele edileceini belirlemek her ethical hacker iin kritik neme sahiptir. Bunu yapmak iin bir ka yol var. Dkmantasyon ve gvenlik ilkelerinin uygulanmasn zorlamak ve gvenlik bilinci programlar, her bilgi gvenlik program iinde en kritik bileenlerdir. yi politikalar ve prosedrler eer alanlara retilmez ve salamlatrlmaz ise verimli olmayacaktr. lkeler, alanlar ile iletiime geilip nlemleri vurgulanmal ve yneticiler tarafndan uygulanmaldr. Gvenlik bilinci (Farkndal) eitimi alndktan sonra, alanlar irketin gvenlik ilkelerinin destekisi olacaklardr. irket gvenlik ilkesi, hesaplarn ne zaman nasl oluturulaca ve kaldrlacan, ifrelerin ne sklkla deitirileceini, kimin ne tr bilgiye eriebileceini ve ihlallerin veya ilkelerin nasl ele alnacan gstermek zorundadr. Ayrca deminki grevler iin help desk prosedrlerinin ayn zamanda alanlara da aklanmaldr, rnein,alan kiinin numaras veya baka bilgi isteyerek ifre deiiminin yaplmas. Kat dkmanlarnn yokedilmesi ve gvenlik ilkesine tabi ek blgelere fiziksel eriimin kstlanmasda tanmlanmaldr.S on olarak irket gvenlik politikas, modem kullanmlar ve virs kontrol gibi teknik blgeleride tanmlamaldr. Gl gvenlik politikasnn avantajlarndan biride alanlarn hackerlarn isteklerine karlk karar verme sorumluluklarn kaldrmasdr. Eer istek politikalara kar bir istek ise alan bu istei redetmek iin bir rehbere sahip olacaktr. Social engineeringe kar en nemli tedbir alanlarn eitilmesidir. Tm alanlar nemli bilgilerin nasl korunaca konusunda eitilmek zorundadr.Ynetici takmlar gvenlik politikalarn yaratmak ve ynetme iindedir. Bu sayede politikalar tam olarak anlayabilir ve uygulayabilirler. irket gvenlik bilin politikas, tm yeni alanlarn bir gvenlik programna gitmesini gerektirmelidir. Yllk olarak alacak snflar ile alanlarn bilgilerinin gncellenmesi ve kuvvetlendirilmesi gerekir. lginin artrlmasnn dier bir yoluda aylk olarak kartlabilecek gvenlik bilinci ile ilgili yazlar ieren gazetedir.

Si na

29

st

CEH CHAPTER 3

Scanning ve Enumeration
Tarama ve dkm ilemi, hacking ileminin ilk aamasdr ve hackern hedef sistemi veya networklerin yerlerinin belirlemesini ihtiva eder. Enumeration (Dkm ilemiListeleme), scanning (Tarama) ilemi bir kere tamamlandktan sonra ara vermeden devam eden bir ilemdir ve bilgisayar isimleri, kullanc adlar ve paylamlarn belirlenmesinde kullanlr. He iki ilemden birlikte bahsedilecek, nk bir ok hacking arac her ikisinide gerekletirir. Scanning (Tarama) : Tarama srasnda, hacker network ve ayr ayr host sistemler ile ilgili bilgiyi toplamaya devam eder. IP adresleri, iletim sistemleri, servisler ve ykl olan uygulamalar gibi veriler hackera hacking yapaca sistemde ne gibi bir exploit kullanaca konusunda yardmc olacaktr. Scanning, ayakta olan ve networkte cevap veren sistemlerin yerini tespit etme ilemidir. Ethical Hackerlar, hedef sistemin IP adreslerini bulmak iin scanningi kullanr. Port Scanning, Network Scanning ve Vulnerability (Saldrya Ak Yerlerin) Scanning : Sistemin aktif ve pasif keif aamalar tamamlandktan sonra, scanning gerekletirilir. Scanning, sistemin networkte ve ulalabilir olduunu belirlemek iin kulanlr. Scanning aralar, hedef sistemin IP adresleri, iletim sistemleri ve alan servisleri ile ilgili bilgiyi toplamakta kullanlr. Scanning eidi Port Scanning Network scanning Vulnerability Scanning

Port Scanning : Port taramas, sistem zerindeki ak ve ulalabilir olan TCP/IP portlarnn belirlenmesi ilemidir. Port tarama aralar, bir hackern belirlenmi sistem zerinde ulalabilir servisler hakknda bilgi edinmesini salar. Bir makine zerindeki her servis veya uygulama iyi bilinen (Well-known) port numaralar ile ilikilidir. rnein, bir port tarama arac 80 numaral portun ak olduunu belirlemi ise bu, sistem zerinde bir web servern olduunu gsterir. Hackerlar bu port numaralarn bilmek zorundadr.

Not : Windows sistemleri zerinde well-known port numaralar C:\Windows\system32\ drivers\etc\services dosyas iinde bulunur. Bu dosya gizli dosya olarak tutulur. Dosyay grebilmek iin Explorer zerinden gizli dosyalar gster seenei aktif hale getirilmelidir. Daha sonra bu dosyay notepad ile aabilirsiniz. CEH snavnda sizin yaygn uygulamalarn kulland bu port numaralarn bilmeniz beklenir.FTP(21),Telnet (23), HTTP (80), SMTP(25), POP3 (110) ve HTTP (443) iin port numaralarn bilmek zorundasnz.

Si

na

Amac Ak olan portlar ve servisleri belirlemek IP adreslerini belirlemek Bilinen zayf noktalar belirlemek

30

st

CEH CHAPTER 3

Network Scanning : Network tarama, hem saldr hemde network gvenlik deerlendirmesi yapmak iin, network zerindeki aktif hostlar belirleme ilemidir. Hostlar (Bilgisayarlar, routerlar...) kendi IP adresleri ile belilenir. Network scanning aralar, network zerindeki cevap veren hostlar veya ayakta olan hostlar ve bunlarn IP adreslerini belirleme giriiminde bulunur. Vulnerability Scanning : Vulnerability scan, network zerindeki bilgisayar sistemlerinin nceden saldrya ak olan yerlerini belirleme ilemidir. Genel olarak, vulnerability taramas yapan kii, ilk olarak iletim sistemi ve versiyon numarasn belirler ve ayrca ykl olan servis paketlerinin tespitinide yapabilir. Daha sonra iletim sistemindeki zayf noktalar veya saldrya ak olan noktalar belirler. Daha sonra yaplacak saldr boyunca, hacker bu zayf noktalardan sisteme girebilmek iin kullanr. Intrusion Detection System (IDS) veya tecrbeli bir network gvenlik uzman uygun aralar ile aktif port taramas ilemini tespit edebilir. Tarama aralar ak portlar ve IP adreslerini bulmak iin TCP/IP portlarn aratrr ve bu aramalar bir ok intrusion detection aralar tarafndan farkedilir. Network ve vulnerability taramalarda genelde tespit edilebilir nk taraycnn network zerinden sistem ile etkileime gemesi gerekir. CEH Tarama Yntemini Anlamak :

Si
31

na

Bir CEH olarak ekil 1deki tarama yntemini bilmeniz beklenir. Bu yntem, bir hackern network tarad ilem srasdr. Bununla hi bir sistem veya akln gzden karlmad ve hackern bir saldr iin gerekli olan bilgiyi toplad garantiye alnr. Bu yazda bu tarama ynteminin ilk admndan balayarak farkl blmlerine bakacaz.

st

CEH CHAPTER 3

ekil 1 : CEH tarama yntemi

CEH tarama yntemi, network zerinde ayakta olan sistemi kontrol etmek ile balar. Bu, sistemin balant isteine veya aratrmaya cevap vermesi anlamna gelmektedir. En basit bununla beraber gerekli olmayan en kesin yol sistemlerin ayakta olduunu anlamak iin IP adres aralklarn ping ile taramaktr. Tm sistemler networkte ayakta olduklarn bildiren ping reply (ICMP Echo Reply)cevabn gnderir. ICMP (Internet Control Message Protocol) taramas networkteki tm hostlara ICMP echo istei veya ping gndererek kimin ayakta olduunu veya ping isteklerine cevap vereceini belirlemekte kullanlan bir tarama ilemidir. ICMP taramasnn faydalarndan biri paralel olarak almas yani, ayn anda tm sistemleri taramasdr, bu nedenle tm networkte hzl bir ekilde alr. Bir ok hacking arac, temel olarak network zerindeki her hosta ICMP istei gnderen ping-sweep (Ksa zamanda ok sayda ping atmak) seeneine sahiptir.

Si

Ping Sweep Tekniklerini Anlamak :

na

n
32

st

CEH CHAPTER 3

Bu yntemde dikkate alnmas gereken sorun kiisel firewall yazlmlarnn ve network tabanl yazlmlarnn ping ataklarn bloklamasdr. Dier bir sorunda bilgisayarn taranm olmasdr.
Hacking Aralar Pinger, Friendly pinger ve WS_Ping_Pro aralar ICMP sorgular yaratr. Bu aralarn CEH snav iin bilinmesi gerekir.

Ping Sweepleri Tespit Etme : Nerdeyse tm IDS veya IPS (intrusion prevention system) sistemleri networkte meydana gelen ping ataklarn tespit edebilir ve sistem uzmanlarn uyarabilir. Bir ok firewall ve proxy serverlar ping cevaplarn bloklar ve bu sayede hacker ping sweep ile sistemlerin ulalabilir olduunu doru bir ekilde renemez. Ar youn port taramas eer sistem bir ping sweep ilemine cevap vermiyorsa kullanlmaldr. nk ping sweep networkteki hi bir aktif hosttan geri dn salyamaz bu da hi bir hostun ulalamaz olduu anlamna gelmez. Tespit ilemi iin alternatif bir ynteme ihtiyacnz var. Unutmaynki hacking ilemi zaman, sabr ve sreklilik ister. Portlar Tarama ve Servisleri Tespit Etme :

Port Taramasna Kar nlemler : Kar nlem (Countermeasure), networknz zerindeki hostlarda port taramasn engellemek ve tespit etmek iin gvenlik uzmanlarnca kullanlan ara setleri veya ilemlerdir. Aadaki kar nlemler ile ilgili liste hackern port tarama ilemi boyunca bilgiyi elde etmesini nlemek iin uygulanmaldr : IDS ve firewalllar gibi uygun gvenlik mimarisi takip edilmeli. Ethical hackerlar kendi ara setlerini kullanarak yaplan port tarama ilemine karlk nlem alrlar. Biran nce firewall uygulamasn gerekletirip bir port tarama aracnn network zerindek hostlar tespit etmesini nlemeli ve bu tr taramay tespit etmesi gerekir. Firewall, port tarama aralar tarafndan yaplan incelemeleri tespit edebilmelidir. Firewall kesinlikle, paket verisini inceleyen ve sadece TCP header deil bunun yannda firewall zerinden gemesine izin verilecek trafiin olup olmadn belirlemek iin kullanlan stateful inspection ilemini gerekletirmesi gerekir.

Si

na

CEH tarama yneteminde ak olan portlarn kontrol edilmesi ikinci admdr. Port scanning, ak olan portlarn kontrol edilmesi ilemidir. Port tarama ilemi, host zerinde hangi portlarn ak olduunu bulmak iin tek tek portlarn aratrlmas eklinde yaplr. Port tarama ilemi, ping sweep ilemine gre host hakknda ve sistemdeki saldrya ak olan noktalar hakknda daha deerli bilgiler elde edilmesini salar. Servislerin belirlenmesi CEH tarama yntemindeki nc admdr. Port scanning gibi ayn aralar ile gerekletirilir. Ak olan portlarn tespit edilmesi ile bir hacker genellikle bu portlar ile ilikili servisleride tespit eder.

33

st

CEH CHAPTER 3

Network IDSnin, Nmap gibi baz yaygn olarak kullanlan hacker aralar tarafndan kullanlan OS (Operating System) tespit etme yntemini tanmlamas gerekir. Sadece gerekli olan portlar ak olmaldr.Dierleri filtrelenmeli veya kapal tutulmaldr. Sistemi kullanan alanlar sistemin gvenlik zaaflar konusunda eitilmelidir. Ayrca uymalar gereken gvenlik politikalarn bilmeleri gerekir.

Nmap Komut Anahtarlarn Anlamak : Nmap, hzl ve verimli bir ekilde, ping sweep, port tarama, servis belirleme, IP adres tespit etme ve iletim sistemi tespit etme ilemlerini gerekletiren cretsiz ak kaynak programdr. Nmap, alan tek bir oturumda byk miktarda bilgisayarlar tarama ilemini gerekletirebilir. Unix, Windows ve Linux dahil bir ok iletim sistemi tarafndan desteklenir. Nmap tarafndan belirlenen portlarn durumlar open, filtered veya unfilltered olarak tanmlanr. Open ifadesinin anlam, hedef makine bu port zerinden gelen istekleri kabul ediyor. Filtered ifadesinin anlam, firewall veya network filtrelemesi tarafndan port perdeleniyor ve Nmap programnn portun ak olup olmadn belirlemesi engelleniyor. Unfiltered ifadesi, port kapal olarak belirlendi ve herhangi bir firewall veya filtreleme ile Nmap isteklerine engel olunmuyor demektir. Nmap bir ok farkl taramay destekler. Aadaki tablo baz yaygn tarama yntemlerini gsterir. Nmap Tarama eidi TCP connect XMAS tree scan Aklama Saldran kii hedef sisteme tam bir TCP balants gerekletirir. Saldrgan TCP servislerini XMAS-tree scan paketleri ile kontrol eder, bu ekilde isimlendirilir nk tm lightlar aktifdir yani FIN,URG ve PSH iaretleri ayarlanmtr. Buna ayrca half-open tarama da denir. Hacker bir SYN paketi gnderir ve serverdan SYN ack paketi alr. Bu aktrmadan yaplr nk tam bir TCP balants yaplmamtr. Bu firewallar zerinden modifiye edilmeden ve tespit edilmeden geebilen gelimi taramadr. Null taramada tm iaretler kapaldr veya ayarlanmamtr. Sadece UNIX sistemlerde alr. Bu tr tarama ACK taramas ile benzerdir ve sadece ak portlar tespit eder. Bu tr tarama firewall kurallarnn ayrntl haritasn karmak iin kullanlr. ACK scan sadece UNIX zerinde alr.

SYN stealth scan

Null Scan

Windows scan ACK scan

Nmap farkl taramalar gerekletirmek iin bir ok komut parametresine sahiptir. Yaygn olarak kullanlan bu anahtarlar aadaki tabloda gsterilmitir.

Si

na

34

st

CEH CHAPTER 3

Bir Nmap taramas gerekletirmek iin Windowsda komut satrna Nmap IP adres komutu ve devamnda yaplmak istenen tarama tipi iinde parametre girilmelidir.rnek olarak, 192.168.0.1 ip adresi iin TCP balant taramas yaplacaksa girilecek komut aadaki gibi olmaldr :

Nmap 192.168.0.1 sT Not : Farkl trden Nmap taramalar, Nmap altrmak iin soz dizilimini ve Nmap sonularnn nasl analiz edileceini bilin.
SYN, Stealth, XMAS, NULL, IDLE ve FIN Taramalarn Anlamak : Bir Ceh olarak aadaki tarama eitlerini bilmeniz, aina olmanz gerekir :

SYN : Bir SYN veya stealth taramaya ayrca half-open (Yar ak) taramada denir
nk tam bir TCP three-way anlama deildir. TCP/IP three-way anlama bir sonraki blmde aklanacaktr. Bir hacker hedefe bir SYN paketi gnderir; eer SYN/ACK

Si

na

Nmap Command -sT -sS -sF -sX -sN -sP -sU -sO -sA -sW -sR -sL -sI -Po -PT -PS -PI -PB -PB -PM -oN -oX -oG -oA -T Paranoid -T Sneaky -T Polite -T Normal -T Aggressive -T Insane

Scan Performed TCP connect scan SYN scan FIN scan XMAS tree scan Null scan Ping scan UDP scan Protocol scan ACK scan Windows scan RPC scan List / DNS scan Idle scan Dont ping TCP ping SYN ping ICMP ping TCP ve ICMP ping ICMP timestamp ICMP netmask Normal kt XML kt Greppable output Tm kt Serial scan; taramalar arasnda 300 sn. Serial scan; tarmalar arasnda 15 sn. Serial scan; .taramalar arasnda 4 sn. Parallel scan Parallel scan, zaman am 300 sn., ve 1.25 sn/probe Parallel scan, zaman am 75 sn, ve .3 sn/probe(aratrma-sonda)

35

st

CEH CHAPTER 3

framei geri gelirse hedefin balanty salad ve portun dinlemede olduu dnlr. Eer hedeften RST mesaj alnrsa portun kapal veya aktif olmad farzedilir. SYN stealth taramasnn avantaj, az saydaki IDS sistemleri tarafndan bir saldr veya balant giriimi olarak loglanmasdr.

XMAS : XMAS taramas, FIN, URG veya PSH olarak etiketlenmi bir paket gnderir.
Eer port aksa cevap gelmez ; eer port kapal ise hedef RST/ACK paketi ile cevap verir. XMAS taramalar sadece TCP/IPnin RFC 793e uygun olarak uygulamas yaplm sistemlerde alr ve Windowsun hi bir versiyonuna kar almaz.

FIN : Bir FIN taramas XMAS taramasna benzer fakat sadece FIN etiketli paket
gnderir. FIN taramalar ayn cevab alr ve XMAS taramalarndaki snrlamalara sahiptir.

IDLE : IDLE tarama, hedefe hileli IP adres kullanarak bir SYN paketi gnderir.

Bu ynl anlamann tamamlanabilmesi ve iki host arasnda baarl bir iletiimin kurulabilmesi iin, gnderen taraf synchronize (SYN) bit eklenmi olan bir TCP paketi gnderir. Daha sonra bu paketi alan taraf datay almaya hazr olduunu belirten synchronize (SYN) ve acknowledge (ACK) biti ayarlanm bir TCP paketi ile cevap verir. Data alveriinde bulunmak isteyen kaynak sistem tekrar ACK mesaj gndererek balanty tamamlar ve data alveriine hazr hale gelirler. TCP connection-oriented yani balantl bir protokoldr, balantnn oluturulmas (three-way anlama) iin bir ilemin yaplmas, balant koptuunda tekrar oluturulmas ve data alveriinin tamamlandnda balantnn sonlandrlmas bu

Si
36

na

TCP tarama eitleri TCP three-way ( ynl) anlama zerine kurulmutur. TCP balantlar, gnderen ve alc arasnda data transferinin yaplmas ve balantnn gerekletirilmesi iin balant ncesi ynl anlama yaplmasn gerektirir. Aadaki ekil TCP three-way anlamann admlarn gsterir.

TCP letiim Etiket (Flag) Trleri :

st

Cevaba gre portun ak veya kapal olduu belirlenir. IDLE tarama, port tarama cevabn IP header (Balk) daki sra numarasn (Sequence number) takip ederek belirler.

NULL : Bir NULL taramas XMAS ve FIN taramalarndaki snrlamalara ve cevaplara sahiptir fakat sadece etiketsiz olarak paket gnderir.

CEH CHAPTER 3

protokoln bir parasdr. Bu protokol bildirimlerine flag denir.TCP protokol, ACK, RST, SYN, URG, PSH ve FIN flaglarn (etiket) kullanr. Aadaki liste TCP flaglarnn ilevlerini listeler. SYN : Synchronize. Hostlar arasnda iletiimi balatr. ACK : Acknowledge. Hostlar arasnda iletiimi kurar. PSH : Push. Sistem buffera alnm veriyi iletir. URG : Urgent. Paket iindeki veri acilen ilenme koyulmal FIN : Finish. Artk aktarm yok. RST : Reset. Balant tekrar balatlr.

Bir hacker normal bir TCP balantsn tamamlamak yerine flaglar kullanarak tespit edilmeyi atlatma giriiminde bulunabilir. Aadaki tablodaki TCP tarama eitleri baz tarama aralar tarafndan kullanlarak bir veya daha fazla flag kullanmak suretiyle bir sistemden cevap temin etmek iin kullanlr.

SYN, daha sonra RST

IPEye, hedef sistemdeki portlar aratrr ve kapal, reddetme, brakma veya ak mesajlarndan biri ile cevap verir. Kapal (Closed) mesajnn anlam, br tarafta bir bilgisayar var ama port dinlemeye kapal anlamndadr. Reddetmek (Reject), bir firewall porta olan balanty reddetti anlamndadr. Brakmak (Drop), bir firewall porta gelen tm istekleri dryor anlamndadr. Ak (open) ise, baz servislerin port zerinden dinlemede olduu anlamn tar. Bu cevap trleri ile bir hacker, karsnda ne tr bir sistemin cevap verdiini anlamasn salar. IPSecScan arac, IPSecin aktif olduu belli bir Ip adresi veya IP adres araln tarar. Netscan Tools Pro 2000, Hping2, KingPingicmpenum, ve SNMP Scanner aralarnn hepsi tarama aralardr ve ayrca iletim sisteminin parmak izini (Fingerprint) almak iin kullanlr.

Si

na

IPEye arac, SYN, FIN, NULL ve XMAS taramalar yapabilen TCP Port taraycsdr. Komut satrndan kullanlr.

Hacking Aralar

37

XMAS Tarama XMAS scan FIN scan NULL Scan TCP connect / full-open scan SYN scan / half-open scan

st

Hacker tarafndan gnderilen Flaglar Tm flaglar belirtilmi (ACK, RST, SYN, URG, PSH, FIN) FIN Flag belirtilmemi SYN, daha sonra ACK

CEH CHAPTER 3

Icmpenum arac sadece networkleri aratrmak iin ICMP Echo paketlerini kullanmaz, ayrca ICMPTimestamp ve ICMP bilgi paketlerinide kullanr. Buna ilaveten cevap paketleri iin spoofing (kandrma) ve sniffing (mesajlar dinleme) eylemlerinide destekler. Icmpenum, firewall ICMP Echo paketlerini bloklad zaman ok iyi bir network tarama aracdr fakat Timestamp ve bilgi paketleri bloklandnda baarszdr. Hping2 dikkate deer bir aratr nk TCP, UDP, ICMP ve raw-Ip protokolleri gibi iletim sistemi parmak izini almann yannda bir hostun dier zelliklerinide ierir, traceroute mod zellii bulunur ve kaynak ile hedef sistem arasnda dosya gnderebilir. SNMP scanner, DNS, ping ve simple network management protocol (SNMP) sorgular gerekletiren, belli bir aralktaki veya listedeki hostlarn taranabilmesine olanak salar.

War Dialing Teknikleri : War dialing ilemi, hedef sisteme kar bir saldr balatmak amacyla bir networke uzaktan eriimi salayan ak modem balantlarn bulmak iin modem numaralar evirmektir. War dialing terimi internetin eski gnlerinde irketlerin internete modem ile baland zamanlardan kalmadr. War dialing, tarama (Modem scanning olarakda bilinir) yntemine dahildir nk internet zerinden zayf gvenlie sahip network balants bulmaya alr. Bir ok firma modas gemi olan uzaktan eriim iin modemler kullanr ve bu tr uzaktan eriim serverlarn kaldrmay ihmal etmilerdir. Buda hackerlara daha zayf gvenlik mekanizmalarna sahip olan networklere girmek iin kolay bir yol salar. rnek olarak, bir ok uzaktan eriim sistemi otantikasyon yntemi olarak ok kt gvenlie sahip olan Password Authentication Protocol (PAP) yntemini kullanr. Bu otantikasyon ynteminde ifreler encrypt edilmeden yani dz halde gnderilir. Yeni VPN teknolojisinde ise veri ve otantikasyon (Kullanc ad ve ifre) bilgileri encrypt edilerek gnderilir. War dialing aralar, irketlerin, firewall kadar sk kontrol etmedii ve modemler artk kullanmda olmasalar bile modem takl olan bilgisayarlardaki dial-in portlar zerinde etkisini gsterir. u an bir ok servarda telefon hatt bal olan modemler takldr ve bu modemler eer birincil internet balants kerse diye yedek balant olarak kullanlr. te bu modemler sisteme uzaktan erimek iin ve ierdeki networke ulaabilmek iin bir war dialing program tarafndan kullanlabilir.
Hacking Aralar THC-Scan, Phonesweep, war dialer ve telesweep aralar telefon numaralarn tespit eden aralardr ve bu aralar hedefi arayp modem ile iletiim salayabilirler. Bu aralar genellikle nceden belirlenmi yaygn olarak kullanlan kullanc adlarn ve ifreleri kullanarak sisteme giri yapamaya alr. Bir ok uzaktan eriim dial-in balantlar zayf ifreler ile giri yapld iin veya dk gvenlik kullanld iin gvenli deildir.

Banner Grabbing ve OS Fingerprinting Teknikleri : Banner grabbing ve iletim sisteminin ne olduunu belirleme (TC/IP protokoller kmesinin parmak izini alma (fingerprinting) olarak da tarif edilir) CEH tarama

Si

na

38

st

CEH CHAPTER 3

Saldrya Ak bilgisayarlarn Network Diagramlarn izmek CEH snavna dahil deildir, CEH tarama ynteminin altnc admnda kullanlan aralarn anlalmas gerekir.Bir ka network ynetim arac bu admda size yardmc olacaktr. Bu gibi aralar genelde network aralarn ynetmekte kullanlr fakat hackerlar tarafndan gvenlik uzmanlarna kar kullanlabilir. Solarwinds, Queso, Harris Stat ve Cheops network ynetim aralarnn hepsi iletim sistemini tespit etme, network diagramn karma, networkte alan servisleri dinleme, yaygn port tarama ilemi gibi eylemlerde kullanlabilir. Bu aralar, routerlar, bilgisayarlar, serverlar ve firewalllar da dahil tm networkn diagramn bir GUI arayz zerinden gsterir. Bu aralarn bir ou IP adreslerini, bilgisayar isimlerini, servisleri, iletim sistemleri ve versiyon numaralarn bulabilir. Netcraft ve HTTrack bir iletim sistemini bulan (fingerprinting) aralardr. Her ikiside iletim sistemlerini tespit edebildikleri gibi web server uygulamasnn versiyon numaralarnda tespit edebilir. Netcraft, periyodik olarak iletim sistemlerinin versiyon numarasn ve web server yazlm versiyon numarasn belirlemek iin web serverlar yoklayan bir web sitesidir. Netcraft, hackerlar iin web serverlardaki zayf noktalar belirlemekte ie yarar bilgiler salar. Ek olarak Netcraft anti-phishing toolbara sahiptir ve sahte web server yerine gerek web server kullandnz dorulayan web server dorulama arac bulunur HTTrack, orjinal sitenin link yapsn dzenler. Web taraycnzdan mirror web sitesini aarsnz ve daha sonra online olarak baksanz bile linkten linke sitede dolaabilirsiniz.HTTrack ayrca mevcut mirror siteyi gncelleyebilir ve kesilen downloadnzn tekrar balamasn salar.

Si

na

39

st

ynteminin drdnc admdr. Fingerprinting ilemi, zellikle savunmasz veya yksek neme sahip hedeflerin belirlenmesinde hackera kolaylk salar.Hackerlar bir sisteme girmek iin en kolay yolu ararlar. Banner grabbing, bir balant amak ve mesaj baln veya uygulamadan geri dnen cevab okuma ilemidir. Bir ok mail, FTP ve Web serverlar, isim ve yazlmn versiyonu ile birlikte telnet balant isteklerine cevap verir. letim sisteminin ve uygulama yazlmnn bulunmasnda hackera yardmc olur. rnein, Microsoft Exchange mail server sadece Windows iletim sistemine yklenebilir. Active stack fingerprinting, fingerprintingynteminin en yaygn kullanlan eklidir. Sisteme veri gnderilerek, sistemin nasl cevap verecei belirlenir. Bu ilem, eitli iletim sistemlerinin TCP protokol kmesini farkl uygulamasndan dolay deiiklik gsterir ve geri gelen cevaplarda iletim sistemlerine gre farkllk gsterecektir. Geri gelen cevaplar daha sonra iletim sistemini belirlemek iin bir database ile karlatrlr. Active stack fingerprinting tespit edilebilir bir ilemdir nk aralksz olarak ayn hedef sisteme balanma giriimlerinde bulunur. Passive stack fingerprinting, gizlice gerekleir ve iletim sistemini belirlemek iin network trafiini denetler. Scanning teknikleri yerine sniffing tekniklerini kullanr. Passive stack fingerprinting genelde bir IDS sistemi veya dier gvenlik sistemleri tarafndan tespit edilemez fakat active fingerprintinge gre daha az dorulua sahiptir.

CEH CHAPTER 3

Bir Saldry Balatmak in Proxy Serverlar Nasl Kullanlr : Proxy serverlar hazrlamak CEH tarama yntemindeki en son admdr. Proxy server, hacker ile hedef bilgisayar arasnda araclk eden bir bilgisayardr. Proxy server kullanlmas hackern network zerinde anonim olmasn yani bilinememesini salar. Hacker ilk olarak proxy servera balant kurar ve daha sonra hedef bilgisayara mevcut proxy server balants zerinden balanmaya alr. Temel olarak hedef bilgisayara ulaan proxy istekleri hackern bilgisayarn gstermez bu nedenle hacker web zerinde anonim olarak dolaabilir veya saldrlarn gizleyebilir.

Hacking Aralar SocksChain, hackerlara proxy serverlarn olduu bir zincir zerinden saldr imkan salar. Bunun yaplmasnn nedeni hackern IP adresinin gizlenmesi ve bylece tespit edilebilmenin en aza indirilmesidir. Bir hacker srayla bir ok proxy server zerinden alrsa hackern yerinin tespit edilmesi ok zordur. Saldrgann Ip adresinin bir ok proxy server zerindeki loglardan takip edilebilmesi ok kark ve yorucudur. Ee bir tane proxy server zerindeki log dosyalar kaybolur veya eksik olursa zincir krlr ve hackern IP adresi anonim olarak kalr.

HTTP Tnelleme Teknikleri : Bir firewall veya IDS sistemini bypass etmenin en popler yntemi SMTP gibi bloklanm bir protokol HTTP gibi izin verilmi bir protokol zerinden tnellemektir. Hemen hemen tm IDS ve firewalllar internet ve bilgisayar arasnda proxy server olarak alr ve sadece izin verilen trafii geirirler. Bir ok firma HTTP trafiine izin verir nk Web eriiminde kullanlr. Bununla beraber hacker HTTP tnelleme arac kullanarak, potansiyel zararl portokolleri masum gibi gzken paketler iine koymak sretiyle kullanarak (IM veya chat gibi) proxy server kertir.

Si

Anonymizerlar, web client iin proxy server gibi davranan bir web sitesini kullanarak, anonim bir ekilde web de surf yapmay salayan servislerdir. lk anonimyzer arac anonymizer.com tarafndan gelitirilmitir.1997 ylnda Lance Cottrell tarafndan yaratld. Anonymizer, kullanc internet zerinde dolarken kullancnn bilgisayarndan tm kimlik bilgilerini kaldrr bylece kullancnn gizlilii salanm olur. Bir web sitesini kimliksiz olarak (Anonymous) ziyaret etmek iin, hacker web sitesinn adresini anonymizer yazlmna girer ve bu yazlmda siteye istei gnderir. Tm istekler ve web siteleri anonymizer sitesi zerinden aktarlr. Bu ilem, web sayfasn talep edeni takip etmeyi zorlatrr.

na

40

Anonymizerlar (Kimlik Gizleyiciler) Nasl alr :

st

CEH CHAPTER 3

Hacking Aralar HTTPport, Tunneld ve BackStealth aralarnn hepsi HTTP kullanarak tnelleme yapar. nterneti kullanan belirli protokolleri bloklayan bir HTTP proxy nin bypass edilmesini salarlar. Bu aralar HTTP proxy arkasnda kullanlan aadaki potansiyel tehlike tekil eden yazlm protokollerine izin verir. E-mail IRC ICQ News AIM FTP

IP Spoofing Tekniklerini Anlamak : Bir hacker, hedef sistemi tararken tespit edilme ihtimalini en aza indirmek iin sahte IP adresini kullanabilir. Sahte bir IP adresinin kullanlmasnn bir sakcas, TCP oturumunun baaryla tamamlanamamasdr. Source Routing (Kaynak ynlendirme), saldrgann paketin internet zerinden gidecei yolu belirlemesini salar. Bu ayrca saldry engelliyecek olan IDS veya firewalllar bypass ederek tespit edilme ihtimalini en aza indirir. Source routing, paketin saldrgann gerek adresi yerine, IP header iindeki sahte IP adresine geri dnmesini salar. IP adres spoofing ilemini tespit etmek iin TTL (Time to Live) deerlerini karlatrabilirsiniz. Saldrgann gnderdii paketteki TTL deeri sahte adresin gerek TTL deerinden farkl olacaktr.

Enumeration (Listeleme Dkm karma) :

Enumeration, tarama ileminden sonra gerekleir ve kullanc adlarn, bilgisayar isimlerini, network kaynaklarn, paylamlar ve servisler hakknda bilgiyi toplamak ve bunlar liste haline getirme ilemidir. Ayrca enumeration, bu bilgileri elde etmek iin aktif olarak sorgulama veya hedef sisteme balanty salama olarak da ifade edilir. Enumeration Nedir ? :

Enumeration ileminin amac, hedef sistemi hackleme ileminde potansiyel olarak kullanabilmek amacyla bir kullanc hesab veya sistem hesabn belirlemektir. Sistem Admin hesabn bulmak iin gerekli deildir nk bir ok hesabn ayrcalklar nceden verilmi olandan daha fazla eriim salayabilmesi iin ykseltilebilir.

Not : Ayrcalklarn ykseltilmesi ilemi bir sonraki chapterda ilenecektir.

Bir ok hacking arac, NETBIOS isimlerini belirlemek iin IP networkleri taramak amacyla dizayn edilmitir. Herbir cevap veren host iin aralar, Ip adreslerini, NETBIOS bilgisayar isimlerini, log in olmu kullanc adlarn ve MAC adres bilgilerini listeler.

Si

na

41

st

CEH CHAPTER 3

Windows 2000 domain iinde built-in (yerleik) bir ara olan net view komutu ile NETBIOS isimlerinin listelemesi yaplabilir. NETBIOS isimlerinin bu komut ile listelenmesi (enumerate) aadaki syntax kullanlarak yaplr : net view / domain nbtstat -A IP address
Hacking Aralar DumpSec bir NETBIOS enumeration (listeleme) aracdr. Hedef sisteme null kullanc olarak net use komutu ile balanr. Daha sonra kullanclar, gruplar, NTFS izinlerini ve dosya sahiplik bilgilerinin dkmn karr. Hyena, NETBIOS paylamlarn listeler ve ek olarak hedef sisteme balanmak iin null olan oturumun aklarn kullanabilir ve paylamn yolunu deitirebilir veya registry zerinde deiiklik yapabilir. SMB Auditing arac, Windows ve Server Message Block (SMB) platformlar iin ifre denetleme aracdr. Windows, server ve client arasndaki iletiimde SMByi kullanr. SMB Auditing Tool, Windows sistemleri zerinde, kullanc adlarn belirleyebilir ve ifreleri krabilir. Dier bir NETBIOS enumeration arac NETBIOS Auditing Tooldur. NETBIOS dosya paylam servisi alan uzaktaki serverlarda eitli gvenlik kontrollerini gerekletirmekte kullanlr.

Not : Microsoft Windows SMB kullanr, Unix/Linux CFIS kullanr.

Bir hacker bir kez sisteme null session kullanarak NETBIOS balants kurarsa null kullanc hesabn kullanarak tm kullanc adlarn, gruplar, paylamlar, izinleri, servisleri, policyleri ve daha fazlasnn tam bir dkmn kolayca elde eder. SMB ve NETBIOS, Windows iinde TCP port 139 zerinden sistem hakknda bilgi veren APIleri kapsyan standartlardr. Windows sistemine NETBIOS null session ile balant kurmak iin bir yntemde gizli olan Inter Process Communication paylamn (IPC$) kullanmaktr. Bu gizli paylama net use komutu ile ulalabilir. Daha nce bahsettiimiz gibi net use komutu Windows iinde dier bilgisayarlardaki paylamlara ulamakda kullanlan built-in (Yerleik-iletim sistemi ile birlikte gelen) bir komuttur. Bo trnak iareti ( ) herhangi bir kullanc ad ve ifre olmadan balant kurmak istediinizi gsterir. IP adresi 192.21.7.1 olan bir sisteme yine built-in bir hesap olan anonymous kullanc hesab ile ve net use komutu ile bo ifre kullanarak NETBIOS null oturumu oluturmakda kullanlacak komut dizisi aadaki gibidir. C: \> net use \\192.21.7.1 \IPC$ "" /u: ""

Si

na

Bir null session (oturum), sisteme giri yaparken herhangi bir kullanc ad veya ifre kullanlmad zaman oluur. NETBIOS null oturumlar iletim sistemine bal olarak SMB veya Common Internet File System (CIFS) iinde saldrya ak bir durum meydana getirir.

42

Null Oturumlar Ne fade Eder :

st

CEH CHAPTER 3

Bir kez net use komutu baar ile tamamlandktan sonra hacker dier hacking teknikleri ve aralarn kullanaca bir kanala sahip olur. Bir CEH olarak NETBIOS enumeration ve null oturumlara kar nasl savunma yaplacan bilmeniz gerekir. Bu konu bir sonraki blmde anlatlacaktr. NETBIOS Enumeration ve Null Sessiona Kar nlemler : NetBios null session hedef makinede zel port numaralar kullanr. Null oturumlarn, TCP port 135, 137, 139 ve/veya 445 numaral portlara erimeye ihtiyalar vardr. Kar nlemlerden biri hedef makine zerinde bu portlar kapatmaktr. Bu, tekil bir makinede network balant zelliklerinden TCP/IP WINS client ap burdan SMB servisini kapatarak gerekletirilir. Bu nlemi uygulamak iin takip edilecek admlar : 1. Network balantnzn zelliklerini an. 2. TCP/IP ve sonrada zellikler butonuna tklayn 3. Gelimi (Advanced) butonuna tklayn. 4. WINS tabna tklayn,burda disable NetBIOS over TCP/IP seeneini sein.

ekil 2 : Network balantsn gerekletirdiiniz balantnn zelliklerine girin. En alttaki Internet Protocol (TCP/IP) seeneine tklayn ve Proterties butonuna tklayn.

Si
43

na

st

CEH CHAPTER 3

ekil 3 : En alt sa taraftaki Advanced butonuna tklayn.

ekil 4 : WINS tabna tklayn ve en alttaki seenei sein. Bylece bu bilgisayarda NETBIOS'un kullanlmasn iptal etmi olursunuz.

Ayrca bir gvenlik uzman, registry iinden anonymous kullanc hesabnn sisteme login olmasn engelleyebilir. Bunun admlar aadaki gibidir. 1. Starta ve burdan Runa tklayn ve regedt32 yazn. HKLM\SYSTEM\CurrentControlSet\LSA giriini bulun. 2. Menden Edit >Add Value seeine tklayn ve aadaki deerleri girin. a. Value Name : RestrictAnonymous b. Data Type : REG_WORD c. Value : 2

Si
44

na

st

CEH CHAPTER 3

Son olarak sistem Windows XP veya daha st bir iletim sistemine ykseltilmeli ve NetBIOS null session zayflnnn olumasn en aza indirmek iin tm gvenlik yamalarnn yklemesi yaplmaldr. SNMP Enumeration Nedir ? : SNMP enumeration, SNMP kullanlarak hedef sistemde bulunan kullanc hesaplarnn listesini veya dkmn karma ilemidir. SNMP, iletiim iin yazlm bileenlerinden iki ana trn kullanr : network cihaznda bulunan SNMP agent; ve agent ile iletiim salayan SNMP management station (Ynetim yeri). Routerlar, switchler ve Windows sistemleri dahil hemen hemen tm network cihazlar, sistem veya cihaz ynetmek iin bir SNMP agent ierir. SNMP management station, agentlara bir istek gnderir ve agentlar reply mesaj ile cevap verir. stekler (requests) ve cevaplar (replies) agent yazlm tarafndan eriilebilir olan konfigrasyon deikenlerini iaret eder. Ynetim yerleri, belirli deikenler iin deerler ayarlamak amacyla istekler gnderebilir. SNMP yneticisine bir uyary tetikleyen nceden tanm yaplm olaylara trap denir. Traplar ynetim yerinin bir arayz hatas veya tekrar balatma gibi nemli derecedeki baz olaylarn bilmesini salar. Management Information Base (MIB), network cihazlarn zerinde bulunan konfigrasyon deikenlerinin tutulduu bir veritabandr. SNMP, erimek ve ynetim yerinden (management station) SNMP agent konfigre etmek iin kullanlabilen iki ifreye sahiptir. lkinin ismi read community string dir. Bu ifre cihazn veya sistemin konfigrasyonuna bakmanz salar. kincisinin ismi ise read/write community string dir. Bu ifre cihaz zerindeki konfigrasyonu deitirmek veya editlemek iindir. Genelde default read community string publicdir ve default read/write community string ise private (zel)dir. Yaygn gvenlik a (kaak noktas) oluumu default ayarlar ile brakldnda oluur. Bir hacker bu default (varsaylan) ifreleri, aygt konfigrasyonuna bakmak veya bu ayarlar deitirmek iin kullanabilir.

Hacking Tools SNMPUtil ve IP Network Browser aralar SNMP enumeration aralardr. SNMPUtil, Windows sistemleri iindeki SNMP zerinden Windows kullanc hesaplarn toplar.Routing tablolar, ARP tablolar, IP adresleri, MAC adresleri, TCP ve UDP ak portlar, kullanc hesaplar, paylamlar gibi bilgiler SNMP protokolnn aktif olduu sistemlerde SNMPUtil arac ile okunabilir. Solarwinds ara setinden IP Network Browser, SNMPyi kullanarak SNMP agentn olduu aygt hakknda daha fazla bilgi toplar.

Si

Not : Bir aygtn default ifrelerini nasl kolayca belirlendii sorusu iin www.defaultpassword.com sitesine bakabilirsiniz.

na

45

st

CEH CHAPTER 3

SNMP Enumerationa (Listeleme-Dkm karma) Kar nlemler : SNMP enumeration ilemini nlemek iin en basit yol, potansiyel hedef sistem zerinden SNMP agent kaldrmaktr veya SNMP servisini kapatmaktr. Eer SNMPyi kapatmak bir seenek olarak yoksa default read ve read/write community isimlerini deitirin. Ayrca bir admin, Group Policy gvenlik seenei olan ve SNMP balantlarn yasaklayan Additional Restrictions For Anonymous Connections seeneini uygulayabilir.

Not : Group Policy Windows domain controller zerinden uygulanr. Network adminleri Group Policy ayarlarnn nasl yapldn bilmeleri gerekir. Bu konu bu kitabn konusu deildir.
Windows 2000 DNS Zone Transferi : Windows 2000 ve 2003 domainlerinde clientlar ve serverlar Active Directory, kerberos, ldap gibi domain servislerinin yerini tespit edebilmek iin DNS iindeki SRV (Service Locator) kaytlarn kullanr. Bunun anlam Windows 2000 ve Windows 2003 Active Directory yaps dzgn alabilmek iin DNS servisine ihtiyalar var demektir.

Nslookup komutu ile basit bir zone transferi bir ok network bilgisini listeler.
Nslookup ls d domainismi

Nslookup komutunun sonular ile bir hacker aadaki kaytlar yakndan grebilir. Bu kaytlar networkte alan network servisleri hakknda ek bilgiler verir. Global Catalog servisi (_gc._tcp) Domain Controllerlar (_ldap._tcp) Kerberos otantikasyonu (_kerberos._tcp)

Kar bir nlem olarak zone transferleri Windows DNS server ynetim arayznden kapatlabilir. Active Directory veritaban LDAP (Lightweight Directory Access Protocol) protokoln kullanr. Buda veritabannda bulunan kullanclarn ve gruplarn basit bir LDAP sorgusu ile dkmnn karlabilmesine izin verir. Bu ilemin yaplmas iin gereken tek ey LDAP vastas ile otantikasyonu yaplm bir oturumun almasdr. Bir Windows 2000 veya 2003 LDAP kullanan client Active Directory Administration tool iinde bulunan ldp.exe komutunu altrp Domain Controller olan bilgisayar ile balant kurabilir ve AD veritaban iindeki verileri saptayabilir. Ldp.exe arac Windows 2000 Server ve Windows 2003 server cdleri iinde bulunur. Bir Active Directory enumeration saldrs iin hackern yapmas gerekenler : 1. 389 numaral port zerinden ldp.exe komutu kullanlarak domain controller olan bilgisayarlardan birine balant kurulur. Balant kurulduunda server ile ilgili bilgiler sa tarafta grnr.

Si

na

46

Listeleme ilemi iin kullanlacak nslookup komutunun yazl aadaki gibidir.

st

CEH CHAPTER 3

2. Connection mensnden authenticate seenei seilir. Kullanc ad, ifre ve domain ismi yazlr. Guest hesab veya herhangi bir domain hesab yazlabilir. 3. Otantikasyon yani kullanc ad ve ifrenin dorulanmas ilemi baar ile tamamlandktan sonra Browse mensndeki Search seeneinden kullanclar ve built-in gruplarn listesi alnabilir.
Hacking Tools User2SID ve SID2user Windows servis kimliklerine bakan komut satr aralardr. Enum, listeleme yapan komut satr aracdr. Null oturumlar ve kullanc adlar, bilgisayar isimleri, paylamlar, group isimleri ve ye listeleri ve lokal gvenlik ilke bilgileri alnabilir. UserInfo, kullanc adlarn toplamak ve ayrca yeni kullanclar yaratabilmek iin kullanlan komut satr aracdr. GetAcct, bir sistem zerinden kullanc hesaplarnn dkmn karabilmek iin kullanlan GUI tabanl bir aratr. SMBBF, kullanc adlarn ve ifresiz kullanc hesaplarn belirlemek iin SMB brute force ataklar yapan bir aratr. Enumeration lemini Gerekletirmek in Gerekli Admlar :

Si
47

na

1. 2. 3. 4. 5.

Enumeration kullanarak kullanc adlarn almak Null oturumlar ile host hakknda bilgi toplamak Superscan aracn kullanarak Windows enumeration ilemini gerekletirmek GetAcct arac ile kullanc adlarn elde etmek SNMP port tarama ilemini gerekletirmek.

st

Hackerlar hacking ilemine olan yaklamlarn sistemli bir ekilde gerekletirmek zorundadr. Aadaki admlar, bir hackern bir sistemi hacklemek iin yapmalar gereken hazrlk aamalarn gsterir :

CEH CHAPTER 4

System Hacking
Password Krma Tekniklerini Anlamak : Bir ok hacking giriimleri ifreleri krma giriimi ile balar. Passwordler (ifreler), bir sisteme girmek iin gerekli olan bilginin anahtar ksmdr. Kullanclar ifrelerini yaratrken genelde krlmaya meyilli ifreler seer. Pek ok kez st ste kullanlan ifreler veya hayvanlarnn isimleri gibi basit ifreler kullanclara ifrelerini hatrlayabilmelerini salar. Bu insan faktrnden dolay bir ok ifre krma ilemi baaryla gerekleir. Buda , ayrcalklar ykseltmek, uygulamalar altrmak, dosyalar gizlemek ve izleri rtmek iin balang noktas olmasn salayabilir. ifreler manuel olarak krabilecei gibi dictionary veya brute force ataklar gibi aralar ile otomatik olarakda gerekletirilebilir. Manuel olarak ifre krma farkl ifreler ile logon olmak eklinde gerekletirilir. Bir hackern izleyecei admlar : 1. Geerli bir kullanc ad bulur (Administrator veya Guest hesab gibi) 2. Mmkn olabilecek ifrelerin listesini karr 3. Yksek ihtimalden de doru ifreleri derecelendirir 4. Her bir ifre iin bilgisayara giri yapar 5. Doru ifreyi bulana kadar denemeye devam eder Ayrca hacker bir liste iindeki ifreleri denemek iin script dosyas hazrlayabilir. Bu ilem manuel cracking olarak gerekletirilmi olur. Manuel cracking zaman ister ve genelde verimli deildir. Bir ifreyi krmann en verimli yollarndan biri, sistemdeki password dosyasna eriim salamaktr. Bir ok sistem ifreleri tek ynl encrypt olarak da bilinen veya karma algoritma da denilen hash ilemine tabi tutar ve bu ekilde depolar. Logon ilemi srasnda kullanc tarafndan girilen ifre ayn algoritma kullanlarak hashing ilemi gerekletirilir ve daha sonra bilgisayar iindeki karma algoritma kullanlarak encryptlenmi dosya ile karlatrlr. Hacker, guess veya baka bir kimlik zerinden denemeler yapmak yerine serverda tutulan hashing algoritmasna ulamaya alabilir. Eer hacker bu algoritmaya ularsa ifreleri decrypt edebilir.

Not : ifreler Windows sistemlerde, Security Accunt Manager (SAM) denilen dosyada, Linuxda ise password shadow denilen bir dosyada tutulur.

Si

na

48

st

CEH CHAPTER 4

Hacking Aralar Legion arac, NetBIOS oturumlarnda ifre tahminlerini otomatik olarak gerekletirir. Legion, birden fazla IP adres dizisini Windows paylamlar iin tarar ve ayrca bir manuel dictionary saldr arac olarak alr. NTInfoScan, NT 4.0 iin gvenlik taraycsdr. Bu vulnerability tarama arac hedef sistem zerinde bulduu gvenlik konular ve dier bilgiler hakknda HTML tabanl bir rapor hazrlar. L0phtCrack, @stake software (u andaki sahibi Symantec) firmas tarafndan datm yaplan ifre denetleme ve kurtarma paketidir. Lokal network zerindeki SMB paketlerini ve tekil login oturumlarn yakalar. L0phtCrack arac, dictionary, brute force ve hybrid saldr yapabilir. John the Ripper Unix ve NT ifrelerini krmak iin dizayn edilmi komut satr aracdr. Krlan ifrelerin, harf hassasiyeti yoktur ve gerek byk kk harf karm olarak yazlm ifreleri temsil etmez. KerbCrack iki programdan oluur: kerbsniff ve kerbcrack. Sniffer, network dinler ve Wndows 2000/XP oturumlarn yakalar. Cracker olan ise yakalanan dosyadan brute force veya dictionary saldrlar ile ifreleri bulmak iin kullanlr.

123456A = 6BF11E04AFAB197F BCDEF__ = F1E9FFDCC75575B15

Hash : 6BF11E04AFAB197FF1E9FFDCC75575B15

Not : ifrenin ilk ksm alfanumerik karakterler ieriyor ve L0pthCrack aracnn bu paray krmas 24 saat alr. kinci ksm ise harfler ve sembollerden oluuyor ve bu ksmn krlmas ise 60 saniye srer. Bunun nedeni, ikinci ksmda ki hashlenmi ifrede daha az sayda kombinasyonun olmasdr. Eer ifre 7 karakterli veya daha az olsayd ikinci ksmn hashi daima AAD3B435B51404EE olacakt.
Windows 2000 ifrelerini Krmak : Windows iindeki SAM dosyas kullanc adlarn ve hash edilmi ifreleri tutar. Bu dosya Windows\system32\config klasr iinde bulunur. Bu dosya Windows iletim sistemi alrken kilitlidir ve bu sayede hacker bu dosyay kopyalayamaz. Bu dosyay kopyalayabilmenin yolu, bilgisayar DOS veya Linux gibi Windows olmayan bir iletim sistemi ile CD zerinden boot etmektir. Alternatif olarakda bu dosya repair

Si

na

Windows 2000, ifrelerin network zerinde seyahati srasnda gvenliini salamak iin NT Lan Manager (NTLM) hash yntemini kullanr. ifreye bal olarak NTLM zayf ve kolay kralabilir olur. rnein, ifrenin 123456abcdef olduunu syleyelim. Bu ifre NTLM ile encryptlendiinde (Orjinal mesajn belli bir algoritma kullanlarak okunamaz hale getirilmesi) ilk olarak tm karakterler byk yazlr : 123456ABCDEF. ifre bo karakterler (Null) kullanlarak 14 karakter uzunlua getirilir. 123456ABCDEF_ _. ifre encryptlenmeden nce 14 karakterlik bu dizi ikiye blnr. 123456A ve BCDEF_ _. Her bir dizi ayr olarak encrypt edilir ve sonular birletirilir.

49

st

LanManager Hash :

CEH CHAPTER 4

klasrnden kopyalanabilir. Eer bir sistem admini, sistemi yedeklemek iin Windowsun RDISK zelliini kullanyorsa C:\Windows\repair iindeki SAM dosyasnn bir kopyasn SAM._ismiyle sktrr. Bu dosyay amak iin komut satrndan aadaki komut kullanlr : C:\>expand sam._ sam Dosyann sktrmas kaldrldktan sonra L0phtCrack gibi bir ara kullanarak SAM dosyasna brute force, dictionary veya hybrid gibi saldrlar dzenlenebilir.
Hacking Aralar Win32CreateLocalAdminUser program, X isimli ve ifreli bir yeni kullanc yaratr ve bu kullancy lokal administrators grubuna dahil eder. Bu eylem Metasploit Projesinin (www.metasploit.com) bir parasdr ve Windows zerine yklenmesi gereken Metasploit framework ile birlikte alr.

SMB Redirection (Tekrar Ynlendirme) :

Hacking Aralar

SMBRelay, SMB trafiinden gelen kullanc ad ve ifre hashlerini yakalayan bir SMB serverdr.SMB Relay ayrca man-in-the-middle saldrlarda gerekletirebilir. SMBRelay2, SMBRelay ile benzerdir fakat kullanc adlar ve ifreleri yakalamak iin IP adresleri yerine NetBIOS isimlerini kullanr. Pwdump2, bir Windows sistemi zerindeki bir SAM dosyasndan password hashlerini extract eden bir programdr. Bu alan hashler L0phtCrack arac ile ifreler krlabilir. SamDump, bir SAM dosyasndan NTLM hashlerini extract eden baka bir programdr. C2MYAZZ, Windows clientn ifrelerini dz metin olarak gnderdii durumda kullancnn ifresini elde eden bir spyware programdr. Server spoofing saldrs iin iyi bir rnektir. Kullancnn NT server zerinden logon olmasn bekler. Logon ilemini tespit ettiinde C2MYAZZ, clienta LM otantikasyonunu kullanabileceini belirten bir paket gnderir. Client bu mesaja gvenir ve kimlik bilgilerini encrypt etmeden dz metin olarak gnderir. 50

Si

Bir ok hacking arac otomatik olarak SMB ynlendirmesini gerekletirir.

na

ifrelerin elde edilmesinin bir baka yoluda Server Message Block (SMB) logon ilemini saldrgann bilgisayarna ynlendirmek ve bylece ifrelerin saldrgana gitmesini salamaktr. Bu ilemi yapmak iin hackern servera giden NTLM cevaplarn kontrol etmesi gerekir ve kurban saldrgann bilgisayar ile Windows otantikasyon giriiminde bulunmas iin kandrmaldr. Bunun iinde kullanlan en yaygn yolda kurbana sahte SMB servern linki olan bir mail gndermektir. Kullanc gelen maildeki linke tkladnda istemeden kimlik bilgilerini gndermi olur.

st

SMB Logon lemini Saldrgana Ynlendirme :

Offline NT Password Resetter, sistem Windows ile boot edilmediinde admin ifresini resetleme yntemidir. En yaygn uygulama yntemi, sistemi Linux CDsi ile boot edip artk korunmayan NTFS partitiona ulamak ve ifreyi deitirmektir.

CEH CHAPTER 4

SMB Relay MITM (Man-in-the-middle) Saldrlar ve Buna Kar nlemler : Bir SMB relay MITM saldrs, hackern baka bir yedek adresli sahte bir server kurmasyla gerekleir. Bir kurban client, sahte server ile iletiime getiinde MITM server iletiimi keser, ifreyi hash ilemine tabi tutar ve iletiimi kurban olarak seilmi servera geirir.

ekil 1 : SMB Relay MITM saldrs

SMBGrind, password tahmin etme yazlmdr. L0pthCrack oturumlarnn sniffer dumplar zerinde iflemeleri kaldrarark hzn artrr.

NBTdeputy arac, bir bilgisayarn NetBIOS ismini networkte kaydn yapar ve NetBIOS over TCP/IP (NetBT) isim zmleme isteklerine cevap verilmesini salar. SMB relayn kullanlmasn basitletirir. IP adres yerine bilgisayar ismini kullanr.

NetBIOS DoS Saldrlar : NetBIOS Denial of Service saldrs hedef sistemdeki NetBIOS isim servisinie (WINS) NetBIOS Name Release (Balangta kaydettirdii NetBios ismini artk kullanmyacan belirten mesaj) mesaj gnderir ve sistemin bilgisayar isminin akmasna zorlayp bu sayede de ismin kullanlamaz hale gelmesini salar. Temel olarak clientn NetBIOSun aktif olduu bir sistemde bu networkn bir paras olmasn nlemek ve bu sistem iin network DoS saldrlar yaratmaktr.

Si

SMBDie arac, Windows 2000/XP/NT alan bilgisayarlara zel olarak hazrlanm SMB istekleri gndererek bilgisayarlarn kmesine neden olur.

na

Hacking Aralar

SMB Relay saldrsna kar nlemler, Windows 2000in SMB imza kullanmas ile yaplr. Bu ilem, her bir SMB iletiim blounun kriptografik olarak imzalanmas eklinde iler. Bu ayarlar Group Policy iinde Security Polices/Security Options altnda bulunur.

51

st

CEH CHAPTER 4

Hacking Aralar NBName, NetBIOS isim kayt isteklerine negatif cevap verdii iin tm LAN disable edebilir ve clientlarn networke dahil olmasn engelleyebilir. Networkteki bilgisayarlar, isimlerinin network iinde kullanldn dndrten bu ara ile zarar grm olurlar.

Password Krmaya Kar nlemler : ifreleri krlmaya kar korumak iin muhtemel en iyi yol ok gl ifrelerin kullanlmasdr. Sistemler kullanclarn ifrelerini belirlerken 8-12 karakter aras alfanumerik ifreler semesini zorlamaldr. Ayn ifrenin kulanlmasnn aralklar bir sonraki blmde anlatlacaktr. Serverda tutulan ifrelerin hashing algoritmalarnn krlmasn nlemek iin servern fiziksel olarak izole edildiine dikkat etmeniz ve korumanz gereklidir. Sistem adminleri Windows iindeki SYSKEY aracn kullanarak serverdaki hard diskte tutulan hashlere ilave koruma salayabilirler. Ayrca serverda tutulan loglar dzenli bir ekilde takip edilerek brute force saldrlar gzlemlenmelidir. Sistem admini aadaki gvenlik nlemlerini uygulayarak brute force ifre krma giriimlerinin etkisini azaltabilir : 1. Default haliyle ifreleri asla brakmayn 2. Asla szlkte bulunabilecek ifreler kullanmayn 3. Asla host ismi, domain ismi veya Whois ile bulunabilecek baka bir isim ile ilikili ifre kullanmayn. 4. Hobileriniz, hayvanlarnz, akrabalarnz veya doum gnnz ile ilikili ifre kullanmayn 5. Szlkte 21 karakterden fazla olan bir kelimeyi ifre olarak kullann.

ifreler, kesin olarak belli bir zamandan sonra kullanm sreleri dolmal ve kullanclar ifrelerini deitirmek zorunda braklmaldr. Eer ifrelerin kullanm sresi ok ksa olursa kullanclar ifrelerini unutabilirler ve sonu olarakta adminler sk sk ifrelerini unutan kullanclarn ifrelerini sfrlamak zorunda kalacaklardr. Dier taraftan eer bu kullanm sresi ok uzun olursa gvenlik tehlikeye debilir. Tavsiye edilen ifre deitirme aral 30 gndr. Ayrca kullanclarn son kulland 3 ifreyi tekrar kullanmalar engellenmelidir.

Not : Eer hacker, paketin yaratld orjinal yeri proxy server ile deitirirse brute force ifre krma saldrlarn tamamen nleyemeyebilirsiniz. Sistem admini brute force saldrlarnn kullanlabilir olmasn azaltmak iin sadece ek gvenlik zellikleri ekleyebilir.
Event Viewer zerinden Loglarn Takip Edilmesi : Adminler, bir zorla girme teebbs meydana gelirken veya yaplrken saldry tespit edebilmek iin Event Viewer iinde tutulan loglar mutlaka takip etmelidir. Genelde baarl bir giri veya ifrelere saldrlar meydana gelemeden nce yaplan bir ok

Si

na

ifre Deitirmek in Zaman Aralklar :

52

st

CEH CHAPTER 4

baarsz giri denemeleri sistem loglar ksmna yazlr. Security loglarda sadece onlar takip eden sistem adminleri iindir. VisualLast gibi aralar network adminlerine security loglar yorumlayabilmek ve analiz edebilmekte yardm eder. VisualLast, NT iindeki olay gnlklerini (Event log) anlayabilme imkan salar bylecede adminler network zerinde meydana gelen olaylar tam ve kesin bir ekilde deerlendirebilirler. Program, network adminlerinin tekil kullanclarn logon ve logoff zamanlarna bakabilmek ve raporlama ilemini yapmas iin dizayn edilmitir. Bu olaylar iinden belli bir zaman dilimi iin arama yaptrlabilir ki bu gvenlik analizi yapan kii iin ok deerlidir. Bu loglar c:\windows\system32\config\Sec.Event.Evt iinde tutulur.

ekil 2 : Event Viewer penceresine ulamak iin My Computer zerine sa tula tklayn ve Manage seeneini sein.

Farkl Trdeki ifreler :

Bir sisteme girmek iin farkl trlerde ifreler kullanlr. Bir ifreyi oluturan karakterler aadaki kategorilerden birinde yer alabilir. Sadece harfler Sadece saylar Sadece zel karakterler Harfler ve saylar Sadece harfler ve zel karakterler Sadece saylar ve zel karakterler Harfler, saylar ve zel karakterler

Gl bir ifre, bir hacker tarafndan saldrya msait en dk seviyede hassasiyete sahip olmaldr. Aadaki kurallar Ec Council tarafndan tavsiye edilen, saldrya kar korumak amacyla bir ifre yaratlrken uygulanmas gereken kurallardr.

Si

na

n
53

st

CEH CHAPTER 4

Kullanc adnn herhangi bir parasn iermemelidir. En az 8 karakter uzunluunda olmaldr. Aadaki en az 3 kategoriden karakterler iermelidir. o Alfanumerik olmayak semboller ($,:%@!#) o Saylar o Byk harf o Kk harf

Bir hacker bir ifreyi belirlemek ve sonrasnda sisteme eriimi elde etmek iin farkl trden saldrlar gerekletirebilir. Password saldr eitleri aadaki gibidir : Passive online : Network zerindeki karlkl ifre gidi geliini gizlice dinlemektir. Passive online saldrlar iinde sniffing, man-in-the-middle ve replay saldrlar bulunur.

Active online : Administrator hesabnn ifresini tahmin etmektir. Active online saldrs iinde otomatik olarak ifreleri tahmin eden aralar bulunur.

Elektronik olmayan : Shoulder surfing (aktrmadan bakmak), keyboard sniffing

ve social engineering. Passive Online Saldrlar :

Dier bir pasif saldr ise man-in-the middle (MITM) saldrsdr. Bu saldrda hacker otantikasyon isteini yakalar ve bu istei servera aktarr. Client ile server arasna sniffer yerletirerek hacker her iki taraftan gelen iletiimi dinler ve ilem srasnda ifreleri yakalar. Replay saldrsda bir pasif online saldrdr. Bu saldr, hackern ifreyi otantikasyonu yapacak olan servera giderken engellemesi ve yakalamas ve sonrasnda otantikasyon paketini daha sonraki otantikasyon ileminde kullanmak amacyla tekrar servera gndermesi eklinde gerekleir. Bylece hacker ifreyi krmak zorunda kalmaz veya MITM ile ifreyi renmek zorunda deildir fakat ifreyi yakalayp krmaktan ziyade yakalad otantikasyon paketini daha sonradan, otantikasyon isteyen clientm gibi kullanr.

Si

Not : ifre hashlerini krma konusu bu chapter iinde anlatlacaktr.

na

Passive online saldr, kablolu yada kablosuz networkte ifrenin koklanmas (sniffing) olarak da bilinir. Bir passive saldr son kullanc tarafndan tespit edilemez. ifre otantikasyon ilemi srasnda yakalanr ve sonrasnda bir dictionary dosyas veya kelime listesi ile karlatrlr. Kullanc hesabnn ifreleri yetkisiz kiiler tarafndan eriimin engellenmesi ve kullanlmasn nlemek iin yaygn olarak encryptlenir veya hash ilemine tabi tutulur. Eer ifre hashing yaplarak veya encrypt edilerek korunuyorsa hackern elindeki alet antasnda bu algoritmalar zecek zel aralar vardr.

54

st

Offline : Dictionary, hybrid ve brute-force saldrlar

CEH CHAPTER 4

Active Online Saldrlar : Bir sisteme administrator seviyesinde giri yapmann kolay yolu, administrator hesabna sahip olan kiinin basit bir ifre setiini dnerek yine basit ifre tahminlerinde bulunmaktr.ifre tahmin etmek active online saldrdr. Bu ilem ifre yaratma kapsam iinde insan faktrne baldr ve sadece zayf ifrelerde alr. nc chapterda sistem hackleme blmnde Enumeration aamasndan bahsetmitik ve NetBIOS enumeration ve null session aklklar konusunu renmitiniz. NetBIOS TCP 139 numaral portun ak olduunu dnn, Windows NT ve Windows 2000 sistemlerine girmenin en verimli yolu ifre tahmin etmektir. Bu ilem listelenmi veya bilinen paylamlara (IPC$ veya C$) balanmakla ve kullanc ad ve ifre kombinasyonlarn denemekle gerekletirilir. En yaygn kullanlan administrator hesab ve ifre kombinasyonlar, Admin, Administrator, SysAdmin, Password ve bo ifredir. Bir hacker ilk olarak dafault olarak paylama alm olan Admin$, c$ veya C:\Windows paylamlarna balanmaya alacaktr. Gizli paylamda olan C: birimine balanmak iin Start>Run blmne aadaki komut yazlr : \\ipadres\c$

Atomatik Olarak ifre Tahmin Etme lemi :

1. Notepad kullanarak basit bir kullanc ad ve ifre ieren dosya yaratn. Dictionary Generator gibi aralar bu listeyi hazrlayabilir. Bu dosyay C: srcs iinde Credentials.txt ismi ile kaydedin. 2. FOR komutu ile bu dosyay arn : C:\> FOR /F token=1, 2* %i in (credentials.txt) 3. Hedef sistem zerindeki gizli paylama log on olmak iin credentials.txt dosyasn kullanmak iin net use \\hedefIP\IPC$ %i /u: %j komutunu yazn.

Not : Bir saldrgan tarafndan FOR komutunun kullanlmasna baka bir rnekte aadaki komut ile hard disk ieriini sfrlarla silmektir. For ((i=0;i<11; i++)); do dd if=/dev/random of=/dev/hda && dd if=/dev/zero of=dev/hda done Ayrca hard disk iinden veriyi silmek iinde kullanlacak komut : $ wipe -fik /dev/hda1

Si

na

Hackerlar ifre tahmin etme ilemini hzlandrmak iin bu ii otomatik yapan aralar kullanr. Otomatik olarak ifre tahmin etmenin en kolay yolu NET USE syntax zerinden Windows Shell komutlarn kullanmaktr. Basit bir ifre tahmin etme scripti yaratmak iin takip edilecek admlar :

55

Atomatik olarak ilem yapan programlar dictionary dosyalar, word listler ve mmkn olan tm say, harf ve zel karakter kombinasyonlarn hzl bir ekilde oluturabilir ve sonrasnda bu kimlik bilgilerini kullanarak logon giriimlerinde bulunurlar. Bir ok sistem hesap kilitlenmeden nce maximum login giriim says belirterek bu tr saldrlar engeller.

st

CEH CHAPTER 4

ifre Tahmin Etme lemine Kar Korunma : ifre tahmin etme ilemi ve ifre saldrlarna kar savunma iin iki seeneimiz var. Smart cartlar ve biometricler, doasnda gvenlii barndrmayan kullancnn yaratt ifrelerde gvenlik iin bir katman salar. Bir kullancnn, biometricler kullanlarak otantikasyonu veya dorulamas salanabilir. Biometricler parmak izi, el taramas, retina taramas gibi fiziksel karakterleri kullancnn kimlik bilgilerini dorulamak iin kullanr. Smart kartlar ve Biometriclerin her ikiside kimlik belirlemeyi iki biimde gerektiren two-factor otantikasyonu (Smart kart ve ifre gibi) kullanr. Kullancdan fiziksel olarak bir eyler istenmesi (Bu rnekte smart kart) ve kullancnn bildii bir eylerin istenmesi ile gvenlik artrlr ve otantikasyon ilemi ifre saldrlar iin msait bir hale gelmez.

Not : RSA Secure ID iki etkenli otantikasyondur. Bu otantikasyon trnde token ve password kullanlr.

Saldr Tr Dictionary Saldrs Hybrid Saldr Brute-Force Saldrs

na

zellikler Bir dictionary listesinin iindeki kelimelerden ifre denemelerinde bulunmak ifrenin karakterlerinin yerine farkl semboller yerletirerek denemek Mmkn olan tm say, harf ve zel karakterlerin kombinasyonunu kullanmak

56

Offline saldrlar, ifrenin tutulduu veya kullanld asl bilgisayar yerine baka bir lokasyondan geekletirilir. Offline saldrlar genelde bilgisayara fiziksel olarak eriimi ve ifre dosyasnn sistemden tanabilir bir medyaya kopylanmasn gerektirir. Daha sonra hacker krma ilemi iin dosyay baka bir bilgisayara alr.Bir ok offline saldr tr mevcuttur. Aadaki tablo her bir saldrnn anlatmn gstermektedir.

st

Dictionary saldrs, saldr trlerinden en basit ve en hzl olandr. Bu saldr szlk iinde bulunabilen kelimeler ile ifre belirlemek iin kullanlr. En yaygn kullanm ile saldr, otantikasyon ileminde kullanlan ayn algoritmay kullanarak hash edilmi muhtemel kelimelerin bulunduu dictionary dosyasn kullanmak eklindedir. Daha sonra hash edilmi olan szlk kelimeleri kullancnn log on olduu hash edilmi ifreler ile veya server zerinde tutulan ifrelerle karlatrmas yaplr. Dictionary saldrs sadece ifre gerek szlk kelimesi ise alr bu yzden bu tr saldrlarda baz snrlamalar vardr. Bu saldr, saylar ve dier sembollerin olduu gl ifrelere kar kullanlamaz. Hybrid saldr, eer dictionary saldrs ile ifre bulanamazsa hackern gerekletirecei bir sonraki seviye saldrdr. Hybrid saldr dictionary saldrs ile balar ve ifre iindeki karakterler saylar ve semboller ile deitirilir. rnein, bir ok kullanc ifrelerinin sonuna gl ifre gereksinimini karlama iin 1 rakamn koyar. Hybrid saldr ifreler iindeki bu tr aykrlklar bulmak iin dizayn edilmitir.

Si

Offline Saldrlar :

rnek ifre Administrator Adm1n1strator Ms!tr245@F5a

CEH CHAPTER 4

En fazla zaman isteyen saldr tr brute-force saldrlardr. Bu saldr, mmkn olan tm byk ve kk harflerin, saylarn ve sembollerin kombinasyonunu dener. Bruteforce saldrs saldr trnden en yava olandr nk ifre iinde denenmesi gereken ok fazla sayda kombinasyon vardr. Bununla birlikte bu saldr verimlidir, yeterli zaman ve ilem gc verilirse sonu olarak tm ifreler krlr. Nonelectronic Saldrlar : Nonelectronik veya teknik olmayan saldrlarda teknik bilgi kullanlmaz. Bu tr saldrlara social enginnering, shoulder surfing, keyboard sniffing ve dumpster diving (p kartrma) rnek verilebilir. Social enginnering, insanlar ile yz yze veya telefon ile iletiime geip, ifreler gibi deerli bilgileri alma sanatdr. Social enginnering, insanlardaki iyilik ve yardmseverlik duygularna dayanr. Help desk alanlar bu tr saldrlara daha fazla maruz kalrlar nk ileri insanlara yardm etmektir ve ifreleri sfrlamak veya kurtarmak onlarn ileridir. Social enginnering saldrsna kar en iyi nlem tm alanlar gvenlik bilinci konusunda ve ifre sfrlama srasndaki gvenlik prosedrleri konusunda eitmektir. Shoulder surfing, insanlar ifrelerini yazarken omuz stnden bakmak daha dorusu aktrmadan yazlanlara bakmaktr. Bu saldr, hacker sistem ve kullancya yakn olduu zaman yaplabilir. Bilgisayar ekrannn grnmesini zorlatran al zel ekranlar shoulder surfing saldrsnn nne geecektir. Ayrca alanlarn bilinlendirilmesi ve eitimler bu tr saldrlar neredeyse tamamen engelliyecektir. Dumpster Diving saldrsnda hackerlar ifreler gibi nemli bilgileri bulmak iin p kutularn kartrrlar. Bu saldrda da gene hackerlarn p kartrarak nemli bilgilere ulamasn nlemek iin nemli dkmanlarn okunamayacak hale getirilmesi konusunda alanlarn bilinlendirilmesi ve bu konuda eitilmesi gerekir. Keyloggerlar ve Dier Spyware Teknolojileri : Eer tm dier giriimler ifreleri ele geirmekte baarsz olursa, keystroke logger arac hackerlar iin bir sonraki seim olacaktr. Keystroke Loggerlar veya bilinen adyla keyloggerlar donanm veya yazlmdan biri kullanlarak gerekletirilebilir. Hardware keyloggerlar bilgisayardaki klavye ile balant kuran ufak cihazlardr ve her bir klavye vuruunu bir dosyaya yada cihazn belleine kaydeder. Hardware keylogger yklemek iin hackern sisteme fiziksel olarak eriime sahip olmas gerekir. Yazlm tabanl keyloggerlar iletim sistemi ile klavye arasnda bulunan grnmez, gizli yazlmlardr. Bu sayede baslan tm klavye tularn kaydederler. Software keyloggerlar bir trojan veya virs ile sisteme yerletirilir.

Not : Trojan ve Virslerin kullanm Chapter 5 iinde anlatlacaktr.

Si

na

57

st

CEH CHAPTER 4

Hacking Aralar

Spector, internet zerinde sistemin yapt hereyi kaydeden bir spywaredir. Spector,
otomatik olarak ekran zerinde ne varsa saat ba yzlerce snapshot alr ve bu grntleri sistemin hard diskinde gizli bir yerde tutar. Spector, Anti-spector ile tespit edilip, sistemden kaldrlabilir.

eBlaster, gelen ve giden mailleri yakalayan ve bu mailleri baka bir maile ileten spy
yazlmdr. Ayrca anlk ileti mesajlarn yakalar, klavye vurularn loglar ve girilen web sitelerini kaydeder.

SpyAnywhere, sistem faaliyetlerine ve kullanc harketlerine bakma, kapatma/tekrar balatma, kilitlenme/donma ve uzaktaki sistemin dosya sistemini taramay salayan bir aratr. Bu ara, uzaktaki bir sistemde ak olan program ve pencereleri kontrol edebilmenizi ve internet gemiine ve ilikili bilgilere bakmanz salar. Invisible Keylogger Stealth (IKS) yazlm, Windows 95/98/ME/XP/2000/Vista(32Bit) iletim sistemlerinde en alt seviyede sessizce alan yksek performansl bir keyloogerdr. Tm klavye vurular bir binary dosyasnda tutulur.

Ayrcalklarn Ykseltilmesi :

Ayrcalklarn ykseltilmesi hacking emberindeki nc admdr. Ayrcalklarn ykseltilmesi basite kullanc hesabna daha fazla haklar ve izinler vermektir. Basit syleni ile standart kullanc hesabn administrator hesab haline getirmektir. Genelde Administrator hesabnn daha sk ifre belirleme ihtiyac vardr ve onlarn ifreleri daha fazla korunmas gerekir. Eer bir hesabn kullanc ad ve ifresi, administrator haklar ile bulunmas mmkn deil ise, hacker daha dk ayrcalklara sahip bir hesab kullanmay seebilir. Bu nedenledirki hacker setii hesabn ayrcalklarn ykseltmek zorundadr. Bu ilemi yapabilmek iin ilk olarak admin olmayan bir kullanc hesabn kullanarak giri salamaldr (Daha nce bahsettiimiz kullanc ad ve ifre elde etme yntemlerinden biri ile) ve sonrasnda hesabn sahip olduu ayrcalklar administrator seviyesine karacaktr. Bir kez hacker geerli bir kullanc hesab ve ifreye sahip olduunda bir sonraki adm, uygulamalar altrmak olacaktr. Genel olarakda hackern programlar ykleyebilmesi iin administrator seviyesinde eriime ihtiyac vardr ve buda niye ayrcalklarn ykseltilmesinin nemli olduunu gsteriyor.
Hacking Aralar Getadmin.exe kullanclar administrators grubunun yesi yapan kk bir programdr. alan uygulamalara ulamak iin Low-level NT kernel yordamn kullanr. Server konsoluna logon olmak programlar altrmak iin gereklidir. Getadmin.exe komut satrndan veya browserdan alabilir. Sadece Windows NT 4.0 SP3 ile alr. Hk.exe Windows NT iindeki bir Local Procedure Call hatasn aa karr. Admin olmayan bir kullanc bu arac kullanarak Administrators grubuna dahil olabilir. 58

Si

na

st

E-mail Keylogger, hedef sisteme gnderilen ve alnan tm mailleri loglar. Mail ieriine, gnderene, alcya, konuya veya zamanna gre baklabilir. Ayrca mail ierikleri ve ekleride kaydedilir.

Fearless Key Logger, kullanclar tm klavye vurularn yakalayan, bellee yerleen bir trojandr. Yakalanan klavye vurular bir dosyada tutulur ve bu dosya hacker tarafndan geri alnabilir.

CEH CHAPTER 4

Uygulamalar altrmak : Bir kez bir hacker bir hesaba admin haklar ile eriim saladnda yapaca bir sonraki i hedef sistem zerinde uygulamalar altrmaktr. Uygulamalar altrmasnn nedeni sisteme bir back door yklemek, nemli bilgileri toplamak iin bir keylogger yklemek olabilir, dosyalar kopyalamak veya sadece sisteme zarar vermekte olabilir. Sonuta temel olarak hacker sisteme istedii eyi yapabilir. Bir kez hacker uygulamalar altrabildiinde artk o sistem owned (Sahipli-kendi mal) olarak farz edilir.
Hacking Aralar PsExec program, uzaktaki sisteme balant kurar ve dosyalar altrr. Uzaktaki sisteme bir yazlm yklemeye gerek yoktur. Remoxec, RPC (Task Scheduler) veya DCOM (Windows Management Instrumentation) servislerini kullanarak bir program altrr. Zayf veya bo ifreye sahip Administrator hesaplar Task Scheduler (1025/tcp veya st) veya Distributed Componenet Object Mode (DCOM; default 135/tcp) zerinden smrlr.

Not : Buffer Overflow konusu Chapter 9 iinde daha detayl anlatlacaktr.

Rootkitler :

Rootkit, Tehlikeye dm olan bir sistemde ufak faydal bir takm aralar gizleyen program eididir. Rootkitler, sonradan bir sisteme eriimi salamasna yardmc olacak back doorlar ierir. rnein, saldrgan sisteme belirli bir port zerinden balanaca zaman, bir shelli oaltan bir uygulamay saklyor olabilir. Bir back door, normalde administratorn yapabildii fonksiyonlar ayrcalklara sahip olmayan kullanc ile ilemleri balatmaya izin verebilir. Bir rootkit, sk sk programcnn rootkiti grmesine ve ihtiyac olan kullanc adlar ve login bilgilerine eriim amacyla kullanlr. Bir ok rootkit eidi vardr. Bunlardan bazlar :

Kernel-level rootkitler : Kernel seviyesi rootkitler kod ekler ve/veya kernel kodlarnn
bir ksmn sistemdeki bir back dooru saklamak iin modifiye edilmi kodlar ile deitirir. Bu ilem genelde kernele yeni bir kod eklemek ile gerekletirilir ki kod ekleme ilemide Linux iletim sisteminde yklenebilir olan bir modul vastasyla,

Si

na

Buffer overflow, bir uygulamann kodu iindeki hatadan yararlanarak hacking giriiminde bulunmaktr. Temel olarak buffer overflow saldrs, bir uygulamann bir alan deikenine ok fazla sayda veri gnderir ve buda uygulama hatasna neden olur. ou zaman uygulama bir sonraki aamada ne yapacan bilmez nk kapasitesinin zerinde veri ile yklenmitir. Uygulama, ya overflow olan verideki komutu altracak veya kullancnn sonraki komutu girebilmesi iin bir komut satrn brakacak. Komut satr veya shell hacker iin nemlidir ve dier uygulamalar altrabilmesi iin kullanr.

59

st

Buffer Overflow :

CEH CHAPTER 4

Microsoftta ise aygt srcs ile gerekletirilir. Kernel seviyesindeki rootkitler zellikle tehlikelidir nk uygun bir yazlm olmadan tespit edilmeleri ok zordur.

Library-level rootkitler : Library (Ktphane-DLL) seviyesi rootkitler yaygn olarak

hackern kendi kimlik bilgisini saklamak iin system calllar (fonksiyonlar) yamar, alar veya deitirir.

Application-level rootkitler : Bu rootkitler normal uygulamann binarylerini trojanl

olan sahteleri ile deitirir veya mevcut uygulamann davranlarn yamalar, kodlar ile veya eklemeler yaparak deitirebilir. Windows 2000 ve Xp Makinelere Rootkitler Kurmak : Windows NT/2000 rootkit, dinamik olarak runtime srasnda yklenen kernel mod srcs olarak oluturulur. Rootkit, NT Kernelin ekirdeinde sistem ayrcalklarn kullanarak alr bylece iletim sisteminin tm kaynaklarna eriebilir. Ayrca rootkit, ilemleri, dosyalar, registry girilerini gizleyebilir, sistem konsolundan yazlan klavye vurularn engeller, mavi ekrana neden olan hata ayklamay durdurmaya ve EXE dosyalarn ynlendirmeye neden olur. Rootkit, kernel mod aygt srcs olan _root_.sys ve program balatcs olan DEPLOY.EXE ierir. Hedef sisteme giri elde edildikten sonra saldrgan bu iki dosyay hedef sisteme kopyalar ve DEPLOY.EXE yi altrr. Bu ilem, rootkit aygt srclerini ykler ve balatr. Daha sonra saldrgan hedef sistemden DEPLOY.EXEyi siler. Saldrgan net stop_root ve net start_root komutlar ile istedii zaman rootkiti durdurur ve balatabilir. Bir kez rootkit balatldnda _root_.sys dosyas ardk dizin listesi iinde grnmez. Rootkit, dosya listeleme iin system calllar engeller ve _root_ ile balayan tm dosyalarn grnmesini engeller. TCP/IP Kmesine Gml Rootkit :

Windows NT/2000 rootkitin yeni zellii stateless (Durum bilgisinin iletiim boyunca tutulmamas) TCP/IP yndr. Gelen paketteki veriye bal olarak balantnn durumuna gre alr. Rootkitin cevap verecei bir hard-coded (gml) IP adresi (10.0.0.166) vardr. Rootkit, sistemin network kartna balanmak iin raw Ethernet balantsn (Layer 2 Ethernet Connection) kullanr ve bu daha gldr. Hedef port nemli deildir, hacker sistem zerindeki herhangi bir porttan telnet balants gerekletirebilir. Ayrca bir ok kii bir seferde rootkite log in olabilir. Rootkit nlemleri : Tm rootkitler hedef sistem iin administrator eriimi ister bu yzden ifre gvenlii nemlidir. Eer bir rootkit tespit ederseniz, kritik verinizi yedekleyin ve iletim sistemini ve uygulamalarnz gvenilir bir kaynaktan tekrar ykleyin. Ayrca administrator iyi bir otomatik ykleme dkmann ve gvenilir geri ykleme medyasn hazrda tutmaldr. Dier bir kar nlem ise MD5 checksum (dorulama) aracdr. Bir dosya iin MD5 checksum 128 bit deerdir, dosyann parmak izi gibidir. (ki farkl dosya iin iki adet ayn checksum alnmas ok dk ihtimaldir) Bu algoritma dosya iindeki verinin bir bitinde deiiklik yapldnda farkl checksum deeri olumasna neden olur. Bu

Si

na

n
60

st

CEH CHAPTER 4

zellik dosyalar karlatrma ve bunlarn btnlnden emin olmak iin kullanldr. Dier bir zellik ise kaynak dosyann uzunluuna baklmakszn checksumn sabit uzunlua sahip olmasdr. MD5 checksum, dosyann deimediinden emin olmanz salar. Bu ilem eer sisteminizde bir rootkit bulunduu zaman dosya btnlnn kontrol edilmesinde kullanldr. Tripwire gibi aralar dosyalarn rootkit tarafndan etkilendiini belirlemek iin MD5 checksum ilemini uygular.
Kar nlem Aralar Tripwire, Unix ve Linux iletim sistemleri iinde kullanlabilen dosya sistemi btnlk kontrol yapan bir programdr. Ayrca bir veya daha fazla kriptografik checksumlar herbir dizin ve dosya ieriini ifade eder. Tripwire veritaban ayrca eriim izinlerini ve dosya modu ayarlar, dosya sahibinin kullancad, dosyaya en son eriilen tarih ve saat ve yaplan en son deiiklikleri dorulamanz salayacak bilgiyi ierir.

Dosyalarn Nasl Gizleneceini Anlamak :

Hacker tespit edilmeyi nlemek iin dosyalar sistem zerinde gizlemek isteyecektir. Bu dosyalar daha sonra sistemde bir saldry balatmak iin sonradan kullanlabilir. Windows iinde dosya gizlemenin iki yolu vardr. Birincisi attrib komutunu kullanmak. Bu komut ile dosya gizlemek iin komut satrna yazlacak komut aadaki gibidir :

NTFS File Streaming :

NTFS File Stream ilemini yaratmak ve test etmek iin uygulanacak admlar : 1. 2. 3. 4. Komut satrna notepad test.txt yazn Dosya iine veri girin ve kaydedip kapatn.Birinci adm notepadi aacaktr. Komut satrna dir test.txt yazn ve dosya boyutunu not edin. Komut satrna notepad test.txt:hiden.txt yazn. Notepad iinde bir eylar yazp kaydedin ve kapatn. 5. Dosya boyutunu tekrar kontrol edin.(Adm 3 deki ile ayn olacaktr) 6. Test.txt dosyasn an. Sadece orjinal veriyi greceksiniz. 7. Komut satrna type test.txt:hidden.txt yazn. Yazm hatas mesaj greceksiniz.

Hacking Aralar Makestrm.exe veriyi bir dosyadan alp orjinal dosyaya linklenmi olan alternate data streame tar.

Si

na

Windows iinde dosya gizlemenin ikinci yolu ise NTFS alternate data streaming (Alternate Data Stream:Bir dosyann arkasnda veri saklar). NTFS dosya sistemi Windows NT, 2000, XP, Vista ve 2003 tarafndan kullanlr ve alternate data streamler denilen normal, grlebilir dosyaya linklenmi olan gizli bir dosya iinde datann tutulduu zellie sahiptir. Veri aklarnda herhangi bir limit snr yoktur, birden fazla stream normal bir dosyaya linklenebilir.

61

attrib +h [file/directory]

st

CEH CHAPTER 4

NTFS Streame Kar nlemler : Bir stream dosyasn silmek iin ilk olarak dosyay FAT birimine kopyalayn nk NTFS stream NTFS dosya sisteminin zelliidir.
nlem in Aralar : NTFS streamlerini belirlemek iin LNS.exe aracn kullanabilirsiniz. LNS varolanlar ve altenate data streamleri ieren dosyalarn yerlerini raporlar.

Stenografi Teknolojileri : Stenografi veriyi baka bir veri tr (imaj veya text dosyas gibi) iinde saklama ilemidir. Verinin bir dosyada saklanmas iin en sk kullanlan yntem, grafik dosyalarndan yararlanmaktr. Saldrganlar stenografiyi kullanarak bir grafik dosyasnn iine herhangi bir bilgiyi gmebilirler. Hacker, bombann nasl yapld bilgilerini, gizli banka hesap numaralarn veya bir snavn cevaplarn gizleyebilir.
Hacking Aralar

Blindside, verileri BMP (Bitmap) imajlar iinde saklayan stenografi uygulamasdr. Komut satrndan kullanlr.

Camera/Shy, Windows ve Internet Explorer ile birlikte alr ve kullanclarn bir GIF imaj iindeki sansrl veya hassas bilgiyi paylamasn salar. Stealth,PGP dosyalar iin filtreleme aracdr. Paketin headerndan kimlik bilgisini karr sonrasnda stenografi iin kullanlr.

Stenografi baz programlar tarafndan tespit edilebilir, bununla beraber bu ii yapmak zordur. lk i olarak gizli mesajn olduu dosyay tespit etmek gerekir. maj iindeki ablonlar analiz edilerek bu ilem gerekletirilir ve renk ablonu deitirilir.
nlem in Aralar Stegdetect arac imaj iindeki stenografik ierii otomatik olarak tespit eder .Farkl stenografik yntemleri tespit edebilir.

z Nasl Kapatlr ve Kantlar Nasl Silinir : dk seviyede hard disk taraycsdr.

62

Dskprobe Windows 2000 ykleme Cdsi iinde olan bir aratr. Stenografiyi tespit edebilen

Si

Snow, mesajlar, satr sonlarna eklenen whitespace (dkman print ederken grnmeyen karakterler.Tab gibi) vastasyla ASCII text iine gizleyen stenografi programdr. Space tuu ve tablar text iinde grnmezler, mesaj etkili bir ekilde gzclerden saklanr. Eer yerleik encryption kullanldysa mesaj tespit edilse bile okunamaz

na

MP3Stego, sktrma ilemi srasnda veriyi MP3 dosyasnn iine saklayan bir uygulamadr. Veri MP3 Streami iinde sktrlr, encryptlenir ve sonrada gizlenir.

ImageHide, byk miktarlarda yazy imaj dosyasnn iinde saklayabilen bir stenografi programdr. Veri bytelar eklendikten sonra bile imaj dosyasnn boyutunda herhangi bir art olmaz. Resime herhangi bir grafik program ile baklabilir. Dosyalara yklenebilir ve kaydedilebilir ve bu yzden bir ok e-mail snifferlarn atlatabilir.

st

CEH CHAPTER 4

Bir kez davetsiz misafirler sisteme Administrator eriimi saladktan sonra orda olduklarn belli edecek olan izlerin tespit edilmemesi iin izlerini silmeye alrlar. Bir hacker ayrca kimlii ile ilgili delilleride veya kimlikleri zerinden kendilerinin takip edilmesini salyacak olan aktivitelerini kaldrmaya alr. Hacker genelde tm hata mesajlarn veya gvenlik loglarn tespit edilmemek iin siler. Auditingin (Denetleme-Kontrol) Disable Edilmesi : Davetsiz misafirin admin ayrcalklar ile sistem giriinden sonra yapaca ilk i denetlemeyi devre d brakmaktr. Windows denetleme, Windows Event Viewer iinde bir log dosyasnda olaylar tutar. Olaylar (Events), sistem, bir uygulama veya bir event log iindeki loglar ierebilir. Admin tutulacak olan loglama ileminin seviyesini belirleyebilir. Hacker bu seviyeyi, bu loglar kendisinin orda olup olmadnn kaytlarn tutmu mu diye bilmek istiyecektir.
Hacking Aralar AuditPol sistem adminleri iin Windows NT Resource Kit iinde olan bir aratr. Bu ara komut satrndan auditing ilemini disable veya enable yapar. Ayrca bu ara ile sistem admininin logging seviyesini renmek iinde kullanlr.

Event Log (Olay Gnl) Silmek :

Hacking Aralar

Elsave.exe, event log silmek iin kullanlan ufak bir aratr. Komut satrndan kullanlr. Winzapper, saldrgann Windows 2000 iindeki olay gnlklerinden setiklerini silmesini salar. Ayrca bu program altna dair event log iindeki giriide siler. Evidence Eliminator, Windows bilgisayarlar iin data temizleme aracdr. Verinin sistem iinde kalc olarak gizlenmesini engeller. Recycle bin, internet cache, sistem dosyalarn, temp klasrlerini ve dierlerini temizler. Ayrca hacker bu ara ile saldr sonras sistemden kantlar siler.

Si

na

Saldrgan kii Windows Event Viewer iindeki gvenlik loglarn kolayca silebilir. Bir event log bir veya birka olayn pheli olduunu belirtir bu olayda dier olaylarn silindiini belirten olay giriidir. Auditing ilemi devre d brakldktan sonra olay gnln silmek gerekir nk Auditpol aracn kullanmak auditing ileminin devre d brakldn belirten bir girii event log iine yazar. Event log silmek iin bir ok ara vardr veya hacker bu ii Event Viewer iinden manuel olarakda yapabilir.

63

st

CEH CHAPTER 5

Trojanlar, Backdoorlar, Virsler ve Wormlar

Trojanlar ve backdoorlar hackerlarn bir sisteme girmek iin kullandklar yntemlerdir. Farkl eitleri vardr fakat hepsi bir tek benzer eye sahiptir: Baka bir program tarafndan yklemesi yaplmaldr veya kullancnn trojan veya backdooru yklemesi iin kandrlmas gerekir. Trojanlar ve backdoorlar ethical hackern araseti iindeki potansiyel tehlikeli aralardr ve bu yzden sistem veya networkn gvenliini test etmek iin akllca ve tedbirli bir ekilde kullanlmaldr. Virsler ve Wormlar, bir sistemi ve network ykmak konusunda Trojanlar ve backdoorlar kadar nemidir. Aslnda bir ok virs altrlabilir (executable) trojan tar ve hackerlar iin bir backdoor yaratldktan sonra sisteme bular. Bu chapter Trojanlar, backdoorlar, virsler ve wormlar arasndaki benzerlik ve farkllklar konusunu iliyecek. Bu tr kt kod ve malware ethical hackerlar iin nemlidir nk bunlar yaygn olarak hackerlar tarafndan tehlikedeki sistemlere saldrlarda kullanlr. Trojanlar ve Backdoorlar : Bir backdoor, hackern daha sonra sisteme girmesini salyacak olan, hedef sisteme ykledii bir program veya birbiriyle ilikili programlar setidir. Bir backdoorun amac, sistem log dosyalarndaki balang giri delilini kaldrmaktr. Fakat bir backdoor hackera ieri szd bir makinede eriimi devam ettirmesini salayabilir. Bu zorla girip ierde devamll salama eylemi, sistem admini tarafndan tespit edilmi veya aresine baklm olsa bile devam edebilir. Windows iletim sisteminde yeni bir servisin eklenmesi backdoorlar gizlemek iin kullanlan en yaygn yntemdir. Backdoorun yklenmesinden nce hacker, alan servisleri bulmak iin sistemi aratrr. Hacker yeni bir servis ekleyebilir ve buna farkedilmeyecek bir isim verebilir veya daha nce kullanlmam bir servisi seebilir ve bunu manuel olarak aktive edebilir veya tamamen devre d brakabilir. Bu teknik etkilidir nk hacking giriimi meydana geldiinde sistem admini sistemde garip bir ey olup olmadna bakar, tm mevcut servisleri kontrol etmeden brakr. Backdoor teknii basit fakat etkilidir : hacker makineye sistem loglarnda en az grlebilir bir ekilde geri dnebilir. Backdoor olarak kullanlan servisler hackera yksek ayrcalklar sunar (Bir ok durumda bir system hesab olarak). Remote Administration Trojanlar (RATs), uzaktaki bir makinenin kontroln almak iin kullanlan backdoor snfdr. Kullancya kullanl fonksiyonlar olarak grnr ve ayn zamanda kurbann bilgisayarnda bir network portu aar. Bir kez RAT baladnda bir altrlabilir (executable) dosya olarak davranr, balatma ilemlerinden sorumlu olan registry keyleri ile etkileime girer ve bazende kendi sistem servislerini yaratr. Yaygn backdoorlardan farkl olarak RATler kendi kendilerine iletim sistemine hook yapabilirler ve daima iki dosya ile birlikte gelirler : client dosyas ve server dosyas. Server dosyas virsl olan bilgisayara yklenir ve client dosyas ise hedef sistemi kontrol etmek iin saldrgan tarafndan kullanlr. Trojan Nedir ? : Trojan, yararl bir eymi gibi grnn deitiren kt niyetli bir programdr. Trojanlar ounlukla baka bir programla beraber veya bir yazlm paketi ile birlikte makineye yerleir. Bir kez sisteme yklendiinde verinin alnmasna ve kaybna yol aar, sistem ker veya yavalar. Ayrca trojanlar Distributed Denial of Service

Si

na

64

st

CEH CHAPTER 5

(DDoS) gibi baka saldrlar iin balang noktas olarak da kullanlr. Bir ok trojan, kurbann bilgisayarnda dosyalar kendi karlar iin kullanmak, ilemleri ynetmek, uzaktan komutlar altrmak, klavye vurularn engellemek, ekran grntlerini izlemek ve bilgisayar kapatmak veya tekrar balatmak iin kullanlr. Gelimi trojanlar kendi kendilerine gnderene (Asl kaynaa) balanabilir veya IRC kanal zerinden Trojann bulat bilgisini verebilir. Trojanlar genelde kullancnn haberi olmadan yklenir. Trojanlar kurban sisteme fakl yollardan yollanabilir : Anlk haberleme ekleri, IRC, mail ekleri, NetBIOS dosya paylam gibi. Freeware, spyware removal aralar, sistemi optimize eden aralar, ekran koruyucular, mzik, resim, oyunlar ve video gibi yazlmlar veya dosyalar yasal yazlmm gibi grnp sisteme trojan ykleyebilir. cretsiz programlar, mzik ve video dosyalarndaki reklamlar kurban cezbedip trojann yklenmesine neden olabilirler. Daha sonra program hedef sistem zerinde sistem seviyesinde eriime sahip olur. Baz yaygn olan Trojanlarn ve kullandklar port numaralarnnn listesi :
Trojan BackOrifice Deep Throat NetBus Whack-a-mole NetBus 2 GirlFriend Masters Paradise Protokol UDP UDP TCP TCP TCP TCP TCP Port 31337 veya 31338 2140 veya 3150 12345 ve 12346 12361 ve 12362 20034 21544 3129, 40421, 40422, 40423 ve 40426

Ak ve Gizli Kanallar :

Hacking Aralar Loki, ICMP zerinden shell eriimi salayan hacking aracdr. TCP veya UDP tabanl backdoorlara gre tespit edilmesi daha zordur. Bir seri ICMP paketi network zerinden gnderilir. Bununla beraber hacker loki client zerinden komutlar gnderir ve server zerinde altrr.

Farkl Trdeki Trojanlar : Trojanlar farkl saldrlar iin yaratlp, kullanlabilir. Baz yaygn kullanlan Trojan eitleri :

Si

Bir ak kanal, sistem veya network ile programn normal ve yasal yol ile iletiime gemesidir. Bir ak kanal, programlar veya iletiim yollarn planlamadan veya kastl olmayan yollar ile kullanr. Trojanlar iletiim iin kapal kanallar kullanr. Baz client trojanlar kapal kanallar sistem zerindeki bileenlere talimatlar gndermek iin kullanr. Bu bazen Trojan iletiimini deifre etmeyi ve anlamay zorlatrr. Kapal kanallar tnelleme (Bir protokoln baka bir protokol ile tanmas) tekniine dayanr. ICMP tunneling, ICMP echo request ve echo reply mesajlarnn kullanlarak saldrgann kullanmak istedii ykn (payload) tanmasn salayan yntemdir. Buda sistemin grnmeden kontrol edilmesini veya sisteme erimeyi salar.

na

65

st

CEH CHAPTER 5

Remote Access Trojanlar (RATs) : Sisteme uzaktan eriim iin kullanlr. Data-Sending Trojan : Sistem zerinde veriyi bulmak ve bunu hackera gndermek iin kullanlr. Destructive Trojan : Sistem zerindeki dosyalar silmek veya bozmak iin kullanlr. Denial of Service Trojan : Denial of Service saldrs balatmak iin kullanlr. Proxy Trojan : Baka bir sistem zerinden saldr balatmak veya tnel trafii iin kullanlr. FTP Trojan : Bir sistem zerindeki dosyalar kopyalamak iin FTP Server yaratr. Security Software Disabler Trojan : Antivirs yazlmn durdurmak iin kullanlr.

Reverse-Connecting Trojanlarn almas :

DonaldDick, Windows iletim sistemlerinde alan, hackera internet zerinden uzaktaki sisteme tam bir eriim salayan backdoor Trojandr. Hacker sistem zerindeki her trl program altrabilir, silebilir, okuyabilir veya yazabilir. Ayrca bu Trojan bir keylooger ve registry dzenleyicisi barndrr. CD-Rom ekmecesini ap kapama gibi ilevleri gerekletirebilir. Saldrgan client kullanarak kurbana tanm yaplm portlar zerinden komutlar gnderebilir. DonaldDick, default olarak 23476 ve 23477 numaral portlar kullanr. NetBus, Donald Dick ile ayn ilevleri sahiptir ve bir Windows GUI (Grafik arayz) sahiptir. HKEY_CURRENT_USER\NetBus Server registry anahtarn ekler ve

HKEY_CURRENT_ USER\NetBus Server\General\TCPPort anahtarn modifiye eder. Eer otomatik olarak

balamas iin ayarlanm ise

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices iine
NetBus Server Pro isimli registry girii ekler.

Si

Tini, Windows iletim sistemleri iin ok kk ve basit bir bacdoor Trojandr. 7777 numaral portu dinler ve hackera hedef sistem iin komut satr salar. Tini servera balanmak iin hacker 7777 nolu port zerinden telneti kullanr.

na

TROJ_QAZ, notepad.exe dosyasnn ismini note.com olarak deitirip kendi kendini Windows klasrne notepad.exe olarak kopyalayan bir trojandr. Buda kullancnn her notepad uygulamasn altrdnda Trojann aktif olmasna neden olur. Bu trojan, 7597 numaral port zerinden uzaktaki kullancya veya hackera sistemi kontrol etmesi ve balanmasn salayan backdoora sahiptir. TORJ_QAZ registryde bulap Windows her aldnda aktif olabilir.

66

Hacking Aralar

st

Reverse connecting trojanlar, internal (dahili) networkteki bir makineye dardan eriimi salar. Hacker ierdeki bilgisayara reverse WWW shell server gibi basit bir Trojan program ykler. Normal aralklar ile (Genelde her 60 saniyede) ierdeki server, komutlar almak iin dardaki ana servera eriim salar. Eer hacker ana sisteme bir eyler yazarsa bu komut ierdeki server tarafndan alnr ve altrlr. Reverse WWW shell, standart HTTPyi kullanr. Bu tehlikelidir nk tespit edilmesi zordur. Client ierdeki networkten Web zerinde dolayormu gibi gzkr.

CEH CHAPTER 5

BackOrifice2000, saldrgann grafiksel bir arayz zerinden TCP/IP balantsn kullanarak bir sistemi kontrol edebilecei remote administration aracdr. Bu ara grev listesinde veya ilemler listesinde gzkmez ve bilgisayar her balatldnda almak iin kendini registry iine kopyalar. Yklenmeden nce kullanaca dosya ismi konfigre edilebilir. BackOrifice HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices registry anahtarn modifiye eder. Plug-inleri ile kendine yeni zellikler ekler. Plug-inler iinde, kriptografik olarak glendirilmi 3DES (TripleDES) ifreleme, opsiyonel olarak mouse ve klavye kontroll uzak masast, srkle brak ile encryptlenmi dosya transferi, Explorer grnml dosya sistemini browse etme, grafiksel olarak registry editleme, gvenilir UDP veICMP iletiim protokolleri ve TCP ve UDP yerine ICMP kullanarak grnmez olabilme. ComputerSpy Key Logger, ziyaret edilen web siteleri, ICQ, MSN, AOL, AIM veYahoo messenger veya webmail ifreleri ve log-in ad, alan uygulamalar, internet zerinden yaplan chat ve mailler gibi aktivitelerin hacker tarafndan kaydedilebilmesini salayan bir programdr. Ayarlanabilen aralklar ile masastnn snapshotlarn da alabilir. BoSniffer, BackOrifice iin dzeltme olarak grnr fakat aslnda SpeakEasy plug-in yklenmi bir BackOrifice serverdr. Eer BoSniffern BoSniffer.exe dosyas, hedef sistem zerinde alrsa, rastgele bir kullanc adyla #BO_OWNED kanalndan, nceden tanmlanm IRC Servera log on olmaya alr. Daha sonra bir ka dakika aralklar ile kendi Ip adresini ve zel bir mesajn bildirimini yapar bylecede hacker ilerde yapaca saldrlar iin bir zombie gibi bu sistemi kullanr. Beast, Winlogon.exe servisi iin bellekte ayrlm olan alan iinde alan bir Trojandr. Yklendikten sonra kendini Windows Explorer veya Internet Explorer iine koyar. En ayrtedici zellii all in one bir Trojan olmasdr yani client, server ve server editor tek bir uygulama iindedir. CyberSpy, kendini Windows sistem dizini iine kopyalayan ve registry iine kendini kaydettirip sistem her tekrar baladnda kendini altran bir Telnet Trojandr. Bir kez bu ilemleri gerekletirdikten sonra mail veya ICQ ile bilgi gnderir ve daha nceden belirlenen TCP portu zerinden dinleme ilemini balatr. SubRooot, hackern kar sisteme 1700 numaral TCP portu zerinden uzaktan balant kurabildii bir remote administration Trojandr. LetMeRule, hedef sistem zerindeki herhangi bir port zerinden dinlemenin konfigre edilebilidii uzaktan eriim iin kullanlan bir Trojandr. Hackern hedef sistemi kontrol edebilmesi iin bir komut satr ierir. Belli bir dizin iindeki dosyalar silebilir, uzaktaki bilgisayar iinde bir dosyay altrabilir veya registry iine bakabilir ve deiiklik yapabilir. Firekiller 2000, antivirs programlarn ve software tabanl firewallar disable yapabilir. rnein, eer Norton antivirs program otomatik tarama modunda ise ve ATGuard firewall aktif ise program her ikisinin almasn durdurur ve her ikisinin hard disk zerindeki yklemesinide kullanlamaz hale getirir. Her ikisininde tekrardan ilevselliini NetCat Trojann almas : kazanabilmesi iin tekrar yklenmesi gerekir. Firekiller 2000 tm koruma programlar ile alabilir. Bunlar iinde ATGuard, Conseal, Norton Antivirs, McAfee Anti virs NetCat, hedef sistem zerinde TCP veya UDP portlar amak iin kullanlan komut satr programlarda dahildir. aracdr. Hacker, alan bu portlar zerinden telnet ile balant kurar ve hedef sisteme shell Hard Drive Killer Pro, tm DOS ve Windows iletim sistemi zerindeki veriyi tam ve kalc eriimi salar. olarak yokedebilen bir programdr. Program bir kez altnda bir ka saniye iinde dosyalar siler ve sisteme bular ve sistemi tekrar balatr. Sistem tekrar baladktan Not : CEH snav iin Netcatin kullanlmas nemlidir. Snava girmeden nce Netcat aracn sonra sisteme takl olan tm hard diskler tekrar kurtarlamyacak ekilde1-2 saniye iinde indirip komutlar zerinde pratik yapmanz gerekir. formatlanr.

Si

na

67

st

CEH CHAPTER 5

Trojan Saldrsnn Belirtileri Nelerdir : Olaand sistem davranlar genelde bir Trojan saldrsn gsterir. Programlarn kullanc istei dnda balamas ve almas, CD-Rom ekmecesinin alp kapanmas, kendi kendine duvarkad, ekran koruyucu veya arka plan ayarlarnn deimesi, ekrann yukardan aaya doru kapanmas (yada yanp snmesi) veya web browsern yabanc veya beklenmedik siteleri amas gibi davranlar Trojan saldrlarna iarettir. Her trl pheli veya kullanc tarafndan balatlmayan eylemler Trojan saldrsna iarettir. Wrapping (Paketleme-Sarmalama): Wrapperlar bir Trojan teslim etmek iin kullanlan yazlm paketleridir. Wrapper, bir Trojan dosyasn yasal bir dosya iine yerletirir. Yasal olan dosya ve Trojan dosyas tek bir exe dosyasnn iinde bulunur ve bu dosya altrldnda ykleme gerekleir. Genelde, oyunlar ve dier animasyonlu yklemeler wrapper olarak kullanlr nk bu tr yklemeler kullancy megul eden, elendiren yklemelerdir. Bu yol, kullancnn Trojann sisteme yklenmesi srasndaki sistemin yavalamasna dikkat etmez, kullanc sadece yasal bir uygulamann yklenmesin ekranda grr.
Hacking Aralar

Trojan Yapm Kitleri ve Trojan Yapclar : Bir ok Trojan yaratma aralar hackerlarn kendi Trojanlarn yaratmak iin mevcuttur. Bu tr aralar hackerlara zelletirebilecekleri kendi Trojanlarn yaratma imkan salar. Bu aralar tehlikelidir ve dzgn ekilde altrlmazlarsa geri tepebilirler. Hackerlar tarafndan yaratlan yeni Trojanlar virs tarama ve Trojan tarama aralarn geebilecek yeni zelliklere sahipler bunun nedenide bilinen imzalara uymamalardr. Baz Trojan kitleri ; Senna Spy Generator, the Trojan horse Construction Kit v.2.0, Progenic Mail Trojan Construction Kit ve Pandoras Box

Si

IconPlus, ikonlar farkl formatlara evirebilen bir dntrme programdr. Saldrgan bu tr uygulamay kullanarak tehlikeli kodlar veya bir Trojan maskeleyebilir bu sayede de kullanc yasal, meru bir uygulamay yklediini sanr.

na

EliteWrap, Windows iin programlar yklemek ve altrmak amacyla kullanlan gelimi .exe wrapperdr. Bu ara, dosyalar aacak bir setup dosyas hazrlayabilir ve yardm mens grntleyen programlar veya batch dosyalarn altrabilir veya hedef sisteme kopyalayabilir.

Silk Rope 2000, BackOrifice server ve herhangi baka bir uygulamay birletiren wrapperdr.

68

Graffiti, bir Trojan ile paketlenmi olan animasyonlu oyundur. Animasyonlu oyun ile kullancy oyalarken arka tarafta yklemeyi gerekletirir.

st

CEH CHAPTER 5

Trojanlar Engellemek in Kar nlemler : Bir ok ticari antivirs program anti-Trojan zelliine sahiptir ayn zamanda spy tespit etme ve bunlar kaldrma ilevsellikleri de vardr. Bu aralar otomatik olarak sistem balatldnda backdoor ve Trojanlar sisteme hasar vermeden nce hard diskleri tarayabilirler. Bir kez sisteme bulatnda temizlenmesi ok zordur fakat ticari aralar ile yaplabilir. Sistemi temizlemek iin cretsiz olan aralarn yerine ticari yazlmlarn kullanlmas nemlidir. nk bir ok cretsiz yazlm sisteme trojan bulamasna yardmc olur. Ayrca, port monitoring aralar ak olan portlar veya dosyalarn deitirdii portlar belirleyebilir. Trojandan Ka Teknikleri : Trojanlarn ve backdoorlarn sisteme yklenmesini engellemenin temel noktas kullanclarn internet zerinden indirmi olduklar uygulamalarn yklenmemesini veya bilmedikleri yerden gelen mail eklerini amamalar konusunda eitmektir. Bu nedenden dolay bir ok sistem admini kullanclara programlar ykleyebilmelerini salayacak olan izinleri vermez.

PrcView, Windows altnda alan ilemleri detayl bir ekilde gsteren bir uygulamadr. Komut satr versiyonu ile gelir ve alan processleri kontrol edebileceiniz veya gerekliyse sonlandrabileceiniz scriptler yazmanz salar.

Tripwire, sistem btnlnn dorulamasn yapar. Otomatik olarak tm anahtar durumdaki sistem dosyalarnn veya deiiklik iin takip edilen herhangi bir dosyann kriptografik hashlerinin hesaplamasn yapar. Tripwire yazlm, sistemin baseline (anahattemel) snapshotn yaratarak ilem yapar. Program dzenli olarak bu dosyalar tarar, bilginin hesaplamasn tekrar yapar ve bilgide herhangi bir deiiklik olup olmadna bakar. Eer deiiklik olumusa bunun iin bir uyar karr. Dsniff, network denetleme ve penetration testi iin kullanlan aralar topluluudur. Dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf ve WebSpy uygulamalar garip bir ifre, mail, dosya transferleri iin pasif olarak network takip eder. Arpsnoof, dnssnoof ve macof hackern layer2 switchingden dolay normalde yapamyaca network trafii kesmelerine yardm eder. Sshmitm ve webmitm, ynlendirilmi olan Secure Shell ve HTTPS oturumlarna kar aktif man-in-the middle saldrlarn uygular. Bu ara Chapter 6da detayl incelenecektir.

Si

Inzider, Windows iinde alan ilemleri ve dinlemedeki portlar listeleyen kullanl bir aratr. Inzider, baz Trojanlar kaldrabilir. rnein, BackOrifice kendini dier ilemlerin iine bulatrabilir bu sayede de Task Manager iinde ayr bir ilem olarak grnmezler fakat dinleme pozisyonunda olduu bir ak porta sahiptir.

na

TCPView, tm TCP ve UDP endpointleri ayrntl olarak listeleyen Windows programdr, buna lokal ve uzaktaki adresler ve TCP balantlarnn durumuda dahildir. Bu program altnda tm TCP ve UDP endpointlerin dkmn karr, tm IP adreslerini domain isimlerine zmler.

69

Fport, ak olan tm TCP/IP ve UDP portlarn ve bunlarn hangi uygulamalar tarafndan kullanldn raporlar. Fportu kullanarak hzl bir ekilde ak olan portlar ve bu portlar ile ilikili uygulamalar tespit edebilirsiniz.

st

Port-Monitoring ve Trojan Tespit Aralar

CEH CHAPTER 5

Trojana Kar nlemler in System File Verification : Windows Server 2003 iinde korumal olan dosyalarn bakalar ile deitirilmesini nlemek iin Windows File Protection zellii bulunur. WFP zellii SYS, DLL, OCX, TTf veya EXE dosyalarnn zerine yazlmak istendiinde bu dosyalarn btnln, dijital imzal olup olmadn kontrol eder. Denemek istiyorsanz Windows klasrnden calc.exe dosyasn bulun ve silin, bir ka saniye sonra tekrar geri gelecektir. Dosyalarn Microsoft tarafndan dijital olarak imzal olup olmadklarn kontrol eden dier bir arata sigverif aracdr. Sigverif aracn altrmak iin : 1. Start butonuna tklayn 2. Runa tklayn 3. Sigverif yazn ve alan pencereden Start butonuna tklayn. Sisteminizde dijital olarak imzal olmayan dosyalar raporlanacaktr. System File Checker aracda yine bir Trojann dosyalar baka biriyle deitirip deitirmediini anlayabileceiniz dier bir aratr. Eer system File Checker bir sistem dosyasnn deitirildiini anlarsa Windows\system32\dllcache klasrndeki (Gizli klasrdr) orjinali ile deitirir. Burda orjinalini bulamazsa sizden iletim sistemi CDsini ister. System File Checker altrmak iin sfc\scannow komutunu Runa yazmanz yeterli.

Virsler ve Wormlar :

Virs ve Worm Arasndaki Fark Anlamak : Bir virs ve bir worm, kt niyetli yazlm (malware) formunda olduklarndan dolay birbirlerine benzerler. Virs baka bir executable (Tek bana alabilen) dosyasna bulaabilir ve kendini oaltmak iin bu tayc program kullanr. Virs kodu kendini normal bir porgrama kendini nceden yerletirir ve program altnda kendini oaltmaya balar. Virs tayc programlara rnek olarak macrolar, oyunlar, mail ekleri VB scriptleri ve animasyonlar gsterebiliriz. Worm, virs eididir fakat kendi kendini kopyalayabilir. Bir worm sistemden sisteme kendini otomatik olarak yayabilir fakat virs bu ilemi yapabilmek iin baka bir programa ihtiyac vardr. Virsler ve wormlar kullancnn istei ve bilgisi dnda alrlar. Virs eitlerini Anlamak : Virsler iki faktre gre snflandrlr : Neye bulat ve nasl bulat. Bir virs aadaki sistem bileenlerine bular : Sistem sektrleri Dosyalar

Si

na

Virsler ve wormlar br sistemi bozmak ve hackern sisteme girebilmesini salamak iin sistemde deiiklikler yapmak amacyla kullanlr. Bir ok virsler ve wormlarTrojanlar ve backdoorlar tar. Bylece bir virs veya worm tayc olur ve Trojan ve backdoorlar gibi kt kodlarn sistemden sisteme tanp iletiim kuran insanlar sayesinde giderek artan bir ekilde oalmas salanr.

70

st

CEH CHAPTER 5

Macrolar Yardmc dosyalara (DLL ve INI dosyalar gibi) Disk clusterlar Batch dosyalar (BAT dosyalar) Kaynak Kodlara

Bir Virs Nasl Yaylr ve Sisteme Bular : Virs, dardaki bir sistem ile etkileim sonucu bular. Virsler bulama tekniklerine gre kategorilere ayrlr :

Polymorphic virsler : Bu virsler her bir bulama ile farkl yollardan kodu encryptler ve tespit edilmekten kurtulmakiin farkl formlara dnebilir. Stealth Virs : Bunlar normal virs zelliklerini gizler, rnein, dosyann orjinal saat

Fast and Slow Infectors : Bunlar tespit edilmemek iin ya ok hzl bularlar veya ok
yava

Sparse Infectors (Seyrek Bulaanlar) : Bunlar az sayda sisteme veya uygulamaya

bularlar.

Armored Viruses (Silahl Virsler) : Bu virsler tespit edilmemek iin encryptlenir.

yaratabilir.

Cavity (Space-filler) Viruses : Bu virsler kendini dosyann bo blgesine ekler. Tunneling Viruses : Bunlar tespit edilmemek veya firewalldan geebilmek iin farkl Camouflage Viruses : Bu virsler baka bir program gibi gzkrler. NTFS ve Active Directory Viruses : Bunlar zellikle NTFS veya ADye saldrrlar.
Antivirsden Kama Yntemleri : Bir saldrgan zel bir script veya virs yazarak antivirs programlar tarafndan tespit edilemeyebilir. Virs tespit etmek ve bunlar sistemden kaldrmak programn imzasna baldr. Virs tespit edilene kadar ve antivirs irketleri virs tanmlamalarn gncelleyene kadar virs tespit edilemiyecektir. Buda saldrgann belli bir sre tespit edilememesine ve sistemde kalmasn salyacaktr. bir protokol ile veya encryptlenerek gnderilir.

Si

na

Multipartite Viruses (ok Blml) : Bu gelimi virsler birden fazla virsler

71

st

ve gn zelliini deitirip bu sayede virsn sistemde yeni bir dosya olarak fark edilmesi engellenir.

CEH CHAPTER 5

Virs Tespit Etme Yntemleri : Aadaki teknikler virs tespit etmede kullanlr : Tarama Checksumlar ile yani dorulamalar ile btnlk kontrol Virs imzasna gre yakalama

Virs tespiti ve kaldrma ilemleri : 1. Saldry bir virs olarak tespit et. Her anormal davran bir virs ile alakal olmayabilir. 2. Handle.exe, listdlls.exe, fport.exe,netstat.exe ve pslist.exe gibi aralar ile ilemleri takip edin ve etkilenen sistemler arasnda benzerlikleri eletirin. 3. Virsteki payload (paketteki asl yk ksm) silinen, deitirilen, tahrif edilen dosyalara bakarak tespit edin. Yeni dosyalar , deitirilen dosya znitelikleri veya paylamdaki ktphane (DLL) dosyalar kontrol edilmelidir. 4. Virsl ksm tespit edip izole edin. Sonrada antivirs programnn definitonlarn gncelleyin ve tm sistemi tarayn.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Si
72

na

st

Bir test virs yaratmak iin Notepade aadaki kodu yazn ve EICAR.COM olarak kaydedin. Antivirs programnz bu dosyay aarken, altrrken veya kopyalarken tepki verecektir.

CEH Chapter 6

Snifferlar
Bir sniffer, paket yakalama veya frame yakalama aracdr. Networkdeki trafii yakalar ve hackern grmesini salamak iin bir grafiksel arayzde yada komut satrnda yakaladklarn gsterir. Baz gelimi, karmak snifferlar paketleri yorumlar ve paket katarn orjinal data iine tekrar yerletirebilir. Snifferlar iki sistem arasnda gnderilen trafii yakalar. Sniffern kullanmna ve gvenlik konularna bal olarak bir hacker, kullanc adlarn, ifreleri ve dier nemli bilgileri bulmak iin sniffer kullanabilir. Bir ok hacking saldrlar ve eitli hacking aralar hedef sistemden gnderilen nemli bilgileri elde etmek iin sniffer kullanr. Bu chapter, snifferlarn nasl altn ve en yaygn olan sniffer aralarn anlatacaktr.

Not : Packet terimi, OSI modelinde layer 3 veya dier adyla network katmanndaki datay ifade ederken frame, layer 2 dier adyla data link katmanndaki veriyi ifade eder.Frameler MAC adreslerini ierirken paketler IP adreslerini ierir.

Hacking Aralar

Ethereal kablolu ve kablosuz networklerden paket yakalayan cretsiz bir programdr. En son versiyonunun ismi WireShark olarak deitirildi. ok yaygn ve popler bir programdr bunun nedeni de cretsiz olmasdr fakat baz eksiklikleride vardr. Tecrbesiz bir kullanc belirli tipte dosyalarn yakalanmas iin filtreler yazmay zor bulabilir. Snort, bir Intrusion Detection System (IDS-Saldr Tespit Sistemi)dir. Ayrca sniffing yapabilme zelliide vardr. Buffer overflow, CGI saldrlar, SMB aratrmas, OS fingerprinting veya farkedilmeden port tarama gibi eitli saldrlar ve aratrmalar (Sonda yapmak) iin kullanlabilir. WinDump, Unix iin network analizi yapan komut satr arac olan tcpdumpn Windows versiyonudur. Windump tamamyla tcpdump ile uyumludur ve farkl kurallar belirlenerek network trafiini izleyebilir, tanmlayabilir ve diske kaydedebilir.

Si
73

na

Sniffer program, sistemin MAC adresine ynlendirilmemi paketleri yakalama mantyla alr, daha ok hedefin destination MAC adresine olan paketleri yakalar. Buna promiscuous mode denir. Daha ak bir ekilde ifade edelim, normalde network zerindeki bir sistem sadece kendi MAC adresine gelen mesajlar alr ve bunlara cevap verir. Gelen frame iindeki destination MAC adres ksm network kartn kendisini gstermiyorsa framei brakr baka bir deyile almaz veya drr (Drop yapar). Promiscuous modeda network kart tm trafii alr ve bunu sniffera gnderir. Yani baka network kartlar iin olan frameleride alr, kabul eder. Promiscuous mode network kartnda zel src yazlm ile aktif hale gelir. Bir ok hacking arac sniffing iin bir promiscuous-mode srcsnde ierir ki yukarda bahsettiimiz tm paketleri yakakalama, kabul etme ilemini gerekletirebilsin. Datay encryptlemeyen protokoller sniffing iin elverilidir. HTTP, POP3, SNMP ve FTP gibi protokoller sniffer ile yakalanan ve kullanc ad ve ifre gibi deerli bilgileri toplayabilmek iin hacker tarafndan kullanlan en yaygn protokollerdir.

st

Sniffingden Etkilenen Protokoller :

CEH Chapter 6

EtherPeek, geni filtreleme zellii ile kablolu networkler iin ok iyi bir snifferdr ve TCP/IP konumalarn takip edebilme zelliine sahiptir. EtherPeek programnn son verisyonu OmniPeek ismi ile kmtr. WinSniffer, etkili bir password snifferdr. Gelen ve giden network trafiini takip edebilir ve FTP, POP3, HTTP, ICQ, SMTP, Telnet, IMAP ve NNTP (Network News Transfer Protocol), kullanc adlarn ve ifrelerini zebilir. Iris, network zerindeki tm data trafiini toplayan, organize eden, raporlayan ve depolayan gelimi bir data ve network trafik analiz programdr.Dier network snifferlara gre Iris, grafikler, dkmanlar ve mail ekleri gibi network trafiini tekrar oluturabilir.

Aktif ve Pasif Sniffing : ki eit sniffing vardr : pasif ve aktif. Pasif sniffing, trafii dinlemek ve yakalamaktr ve hublar ile bal olan networklerde kullanldr. Aktif sniffing ise ARP (Address Resolution Protocol) spoofing (Kandrma, aldatma) balatma veya trafii yakalamak iin switche kar traffic flooding (Ar trafik yaratma) yaplmasdr. Adndanda anlald gibi aktif sniffing tespit edilebilir fakat pasif sniffing tespit edilemez. Sistemlere balant iin kablosuz aygtlar veya hublar kullanan networklerde tm hostlar trafii grebilir, bu yzden pasif paket sniffer hublar ile bal olan hostlara giden trafii ve gelen trafii yakalayacaktr. Switch kulanlan networklerde durum farkldr. Switch, kimin yolladn bilmek iin dataya bakar ve paketi MAC adresine gre paketi almas gereken kiiye forward eder. Switch, bnyesinde sistemin tm MAC adreslerinin bulunduu MAC tablosunu ve bal olduklar port numaralarn barndrr. Bu da switchin network trafiini segmentlere blmesini ve trafiin sadece doru MAC adrese gnderilmesini salar. Bir switch, networkte aktarm yaplan veri miktarnnda art salar ve hublar ile bal olan networklere gre daha gvenlidir. ARP Poisoning lemini Anlamak : ARP protokol networkte IP adresini MAC adresine eletirme iini gerekletirir. LAN zerinde TCP/IP kullanan bir host baka bir host ile iletiim kurmaya altnda kar tarafn MAC adresine veya dier adyla donanm adresine ihtiyac vardr. Bilgisayar iletiim kurmak istedii bilgisayarn MAC adresini bulmak iin ilk olarak kendi ARP cacheine bakar. Eer kendi ARP cacheinde hedef iin bir MAC adres girii bulamazsa Bu IP adrese sahip kiinin MAC adresi Nedir ierikli bir ARP request paketini boradcast olarak networke gnderir. Eer bu IP adresine sahip olan bilgisayar ARP request mesajn duyarsa kendi MAC adresini bulunduran bir ARP reply mesaj ile cevap verir ve iletiim TCP/IP kullanlarak balatlr. ARP poisoning, bir Ethernet networke saldr yapmak iin kullanlan bir yntemdir ve saldrgan switch kullanlan LAN zerinde data framelerini koklayabilir veya tamamen trafii durdurabilir. ARP Poisoning, amacn ARP mesajlarn kandrmak veya fake olarak gndermek olduu ARP spoofing ileminden yararlanmaktr. Bu frameler network aygtlarn artmak iin yanl MAC adreslerini ierir. Sonu olarak bir makineye gitmesi iin hazrlanm olan frameler yanllkla baka bir makineye (paketin yakalanp incelenmesine olanak salayan) veya ulalamayan bir hosta (DoS saldrs) gnderilir. ARP spoofing ayrca, tm trafiin bir host vastasyla ynlendirildii man-in-the middle saldrs ve ifreler ve dier bilgiler iin analiz edilmesi iinde kullanlr.

Si

na

74

st

CEH Chapter 6

ARP sppofing ilemini nlemek iin gatewayin MAC adresini kalc olarak ARP cachee koymak gerekir. Bunu Windows sistemlerde yapmak iin komut satrndan ARP s komutu kullanlr ve gatewayin IP ve MAC adresi eklenir. Bunu yapmak sistemde hackern ARP cache zerinde oynama yaparak ARP spoofing saldrs gerekletirmesini nler fakat buda ok fazla miktarda sistemin olduu ortamda ynetimi zorlatrr. Byk networklerde port tabanl gvenlii aktif hale getirerek switchdeki her bir port iin bir MAC adrese izin verilebilir. Etherealn Yakalama ve Filtrelemesini Anlamak : Ethereal, kablolu ve kablosuz networklerde paketleri yakalayabilen cretsiz snifferdr. Baz Ethreal filtreleri : ip.dst eq www.eccouncil.org : Sadece hedefi www.eccouncil.org web server olan paketleri yakalamak iin filtredir. ip.src == 192.168.1.1 : Bu sadece 192.168.1.1 adresinden gelen paketleri yakalamak iin bir filtredir. eth.dst eq ff:ff:ff:ff:ff:ff : Bu sadece layer 2 broadcast paketlerini yakalamak iin bir filtredir.

MAC Flooding :

Switch kullanlan networkde bir paket sniffer arac, hub kullanlan networkte olduu gibi kolay bir ekilde paket yakalayamaz. Bunun yerine sistemden gelen veya sisteme giden trafikden birini yakalar. Switchli networklerde tm trafii yakalamak iin ek aralarn kullanlmas gerekir. Aktif sniffing ilemini gerekletirmek iin ve sniffer alan sisteme switchin trafii yollamasn salamak iin temek olarak iki yol vardr : ARP spoofing ve flooding. Daha nce bahsettiimiz gibi ARP spoofing saldrs network gatewayin MAC adresini deitirmek eklinde gerekleir ve bu nedenlede gateway iin hedeflenen tm trafik alnm olur. Bir hacker ayrca switche ilevini yerine getiremiyecek kadar ok trafik gnderebilir (flood) ve tm trafii tmportlara gndermek suretiyle switchi hub haline getirebilir. Bu aktif sniffing saldrs sistemi, sniffer ile tm trafiin yakalanmasna neden olur. DNS Spoofing Teknikleri : DNS spoofing veya dier adyla DNS poisoning, DNS server gerek (doru) bilgiyi aldna inandrarak kandrmaktr. Bir kez DNS server aldatldnda bilgi genelde bir sreliine cachelenir, server kullanclarna yaplan saldrnn etkisi geniler. Bir kullanc belli bir web sitesinin URL yolunu talep ettiinde, adresin ilikili IP adresini bulmak iin DNS servera baklr. Eer DNS serverda sorun var ise kullanc, istedii adres yerine baka bir fake adrese ynlendirilir. DNS saldrs gerekletirmek iin, saldrgan DNS servern yanl bilgiyi kabul edecei, DNS server yazlm iindeki bir hatadan faydalanr. Eer server DNS cevaplarnn yetkili kaynaktan geldiini dorulamazsa DNS server yanl bilgiyi local olarak

Si

na

75

st

Ethreal iinde belli bir protokol trafii veya belli bir kaynak IP adresten veya MAC adresten gelen paketlerin yakalanmas iin filtreler yazarak pratik yapn. Bu yapacanz pratikler CEH snav iin nemlidir.

CEH Chapter 6

cachelemi olacak ve bu bilgileride daha sonra istekde bulunacak olan kullanclara verecektir. Bu teknik bir takm kurbanlar iin belirlenen geliigzel ierii, saldrgann setii ierik ile deitirir. rnein, saldrgan DNS server zerinde hedef web sitesinin adreslerini hackern kontrolnde olan servern IP adresleri ile deitirir. Hacker daha sonra hedef sistemdeki isimler ile eleen serverdaki dosyalar iin fake giriler yaratr. Etkilenmi olan DNS serverdan referans alan bilgisayar kullancs, isteinin hedef serverdan geldiini dnerek kandrlm olur ve farknda olmadan tehlikeli ierii indirir. DNS spoofing teknikleri : Intranet spoofing : Ayn internal networkteki bir aygt olarak davranr. Internet spoofing : nternetteki bir aygt olarak davranr. Proxy Server DNS poisoning : Bir proxy server zerindeki DNS girileri deitirilerek kullanclar farkl bir hosta ynlendirilir. DNS cache poisoning : Herhangi bir sistem zerindeki DNS girileri modifiye edilir bylece kullanclar farkl bir sisteme ynlendirilir.

Si
76

na

st

CEH Chapter 6

Hacking Aralar Etherflood, bir switchi trafie boup bir hub haline getirmek iin kullanlr. Bunu yaparak bir hacker kendine gelen veya kendinden giden trafik yerine tm trafii yakalayabilir. Dsniff, network denetlemek ayn zamanda networke girme ilemini gerekletirmek iin dizayn edilen Unix iin executable aralar topluluudur. Dsniff iindeki aralar : filesnarf, mailsnarf, msgsnarf, urlsnarf ve webspy. Bu aralar, saldrya ak olan paylaml network (dardaki bir firewall arkasndaki sniffern olduu LAN gibi) ifreler, mailler, dosyalar gibi nemli bilgiler iin pasif olarak takip eder. Sshmitm ve webmitm, ynlendirilen Secure Shell (SSH) ve HTTPS oturumlarna kar aktif man-in-the-middle saldrlar gerekletirir. Arpspoof, dnsspoof ve macof, genelde switch kullanlmasndan dolay bir sniffer programnn kullanlamamas durumlarnda switch kullanlan network trafiini yakalamak iini geekletirir. Layer 2 paket switching sorunundan kurtulmak iin dsniff networke spoof yapp verinin darya kabilmesi iin gateway olduunu dnmesini salar. IP Restrictions Scanner (IRS), host zerindeki belirli bir servis iin ayarlanm IP kstlamalarn bulmakta kullanlr. Bu ara TCP stealth kullanan ARP poisoning (ARP spoofing) veya half scan teknii ile hedef sistem zerindeki seilen porta mmkn olabilecek tm spoof yaplm TCP balantlarn ayrntl olarak test edilmesi ilemlerini birletirir. IRS, serverlar ve router ve switch gibi network aygtlarn bulabilir, ACLs(Access Contorl Lists) gibi eriim kontrol zelliklerini , IP filtrelerini ve firewall kurallarn belirleyebilir. sTerm, esiz bir zellie sahip olan Telnet clientdr. Hedef sisteme iki ynl Telnet oturumu kurar, bu iletiimde gerek IP ve MAC adresini paket iine koymaz. ARP poisoning, MAC spoofing ve IP spoofing tekniklerini kullanarak sTerm etkili bir ekilde serverlar veya network aygtlar zerindeki firewall kurallarn, eriim kontrol listelerini ve IP kstlamalarn aabilir.

Si
77

na

st

CEH Chapter 6

Cain&Abel, ok amal Windows hacking aracdr. Network sniff ederek eitli trdeki ifreleri elde edebilir; dictionary, brute-force kullanarak encryptlenmi olan ifreleri krabilir; voip konumalarn kaydedebilir; kartrlm ifreleri decode edebilir; ifre kutularn aa karabilir; cachelenmi ifreleri ortaya karabilir; ve routing protokollerini analiz edebilir. En son versiyonu ARP Poison Routing (APR) gibi switch kullanlan Lanlarda sniff yaplabilmesini salayan zellik ile man-in-the middle saldrlar gibi yeni zellikler ierir. Bu versiyonundaki sniffer, encryptlenmi olan protokolleri (SSH1 ve HTTPS gibi) analiz edebilir ve geni otantikasyon yntemleri iinden credentiallar (Kimlik bilgileri) yakalayabilen filtrelere sahiptir. Packet Crafter, zel TCP/IP ve UDP paketleri yaratmak iin kullanlan bir aratr. Bu ara, Ip spoofing yapabilmek iin paket iindeki kaynak Ip adresini deitirebilir ve checksum gibi IP flaglar kontrol edebillir ve durum flaglar gibi TCP flaglarn (etiketleri), sra numaralarn ve ack numaralarn kontrol edebilir. SMAC, bir sistemin MAC adresini deitiren aratr. Hacker bir saldr yapaca zaman MAC adresini detirmesini salar.

Distributed DNS Flooder, DoS saldrs iin byk miktarda sorgular gnderir, DNSi iptal eder. Eer DNS hatal sorgular loglarsa, saldrnn etkisi artar.

Sniffinge Kar nlemler :

Kar nlemler

netINTERCEPTOR, bir spam ve virs firewalldr. Gelimi filtreleme seeneklerine ve yeni spamlar renebilme ve kendini adapte edebilme yeteneine sahiptir. En son mail virslerini ve Trojanlar karantina altna alabilir ve nleyebilir, yklenmi Trojan ve muhtemel bir sniffer yklemesini engelleyebilir. Sniffdet, TCP/IP networklerinde uzaktan sniffer tespiti iin bir seri testler ierir. Sniffdet, promiscuous modda alan makinelerin tespiti iin eitli testler uygular. Win TCPKill, Windows iin TCP balantsn sonlandran aratr. Ara hedef sisteme gelen veya giden trafii sniff yapmak iin bir sniffer kullanma yeteneine gereksinimi vardr. Switched networklerde WinTCPKill, Arp spoofing yapabilen ARP cache poisoning arac kullanabilir.

Si

Network zerinde sniffinge kar en iyi savunma nlemi encryption yapmaktr. Bununla birlikte encryption sniffingi nleyemeyebilir. Sniffing saldrs srasnda yakalanan veriyi kullansz hale getirir ve hacker bilgiyi yorumlayamaz. AES, RC4 veya RC 5 gibi enryption yntemleri VPN teknolojilerinde faydalanlr ve sniffinge kar kullanlan en yaygn yntemlerdir.

na

n
78

st

WinDNSSpoof, Windows iin DNS ID spoof ilemini yapan basit bir aratr. Switched networklerde kullanabilmek iin saldr yaplacak bilgisayara snif yaplmaldr. Bu yzden ARP spoofing veya flood aralar ile kullanlmaya ihtiyac olabilir.

MAC Changer, Unix zerinde MAC adresi sahtecilii yapmak iin kullanlan bir aratr. Network arayznn belirli bir MAC adresi, rastgele MAC adresi, baka bir reticinin MAC adresi, ayn reticinin baka bir MAC adresi, ayn trden baka bir MAC adresi veya listeden bir retici seip onun MAC adresi ile ayarlanmasna olanak salar.

CEH Chapter 7

Denial of Service ve Session Hijacking

Denial of Service (DoS) saldrs boyunca hacker bir sistemi, kaynaklara ar yklenerek veya kullanclarn sisteme eriimini enegellemek suretiyle kullanlamaz hale getirir ve sistemi nemli derecede yavalatr. Bu saldrlar tekil sistemlere kar veya tm networke kar yaplabilir ve saldr denemeleri genelde de baarl olur. Session hijacking, saldrgann oturumun ynetimini ele ald zaman son kullanc iin geici bir DoS saldrs yaratan bir hacking yntemidir. Session hijacking, hackerlar tarafndan kullancnn otantikasyonu yapldkdan sonra kullancnn o anki oturumunu ele geirmesidir. Session hijacking ayrca hackern server ile client arasnda durduu ve tm trafii kestii man-in-the middle saldrs iinde kullanlabilir. Bu chapter, DoS saldrlarn, Distributed Denial of Service (DDoS) saldrlar ve spoofing yntemleri, TCP three-way handshake, sra numaras belirleme gibi session hijacking eleri ve hackern bu aralar session hijacking saldrs iin nasl kullanacan aklayacak. Ayrca chapter sonunda DoS ve Session hijacking saldrlarna kar nlemler anlatlacaktr. Denial of Service :

DoS saldrlarnn iki temel kategorisi vardr. DoS saldrlar tek bir sistemden tek bir hedefe gnderilebilecei gibi (basit DoS) bir ok sistemden tek bir hedefede gnderilebilir (DDoS). DoSun amac sisteme veya dataya yetkisiz eriim elde etmek deildir, kullancnn bir servisi kullanmasn engellemektir. Bir DoS saldrsnn yaptklar : Nework trafik ile doldurmak bylece normal network trafiini engellemek ki makine arasndaki iletiimi bozar, bu sayede bir servise eriimi engeller. zel birinin bir servise eriimini engeller. Servisin belirli bir sistem veya kii ile iletiimini bozar. Bir kurbana ar trafik gnderilmesi iin farkl aralar vardr fakat sonu hepsinde ayndr : Bir sistem veya tm sistem zerindeki bir servisin kullanc iin eriilmez olmasdr nk servis ar miktardaki istekler yznden cevap veremez hale gelir. Bir DoS saldrs genelde en son bavurulan bir saldrdr. Sofistike olmayan bir saldr olarak nitelendirilir. Bunun nedeni hackern herhangi bir bilgiye eriim elde etmemesidir fakat hedef iin olduka sinir bozucu bir saldrdr ve kurbann bir servise eriimini engeller. DoS saldrlar ykc olabilir ve ayn anda bir ok sistemden saldr yaplrsa (DDos) tatmin edici bir etki yaratr.

Si

na

DoS Saldr eitleri :

79

Bir DoS saldrs, hackern kullanc veya irket sistemine kar byk miktarlarda yapt saldr denemesidir. Bir CEH olarak DoS saldr eitlerini ve DoS ve DDoS saldrlarnn nasl altn bilmek zorundasnz. Ayrca robotlar (BOTs) ve robot networkleri (BOTNETs) ayn zamanda smurf saldrlarn ve ar SYN saldrlarnnda bilinmesi gerekir. Son olarakda DoS ve DDoS saldrlarna kar alnmas gereken nlemlerde bir CEH olarak bilmeniz gerekir.

st

CEH Chapter 7

Hacking Aralar Ping of Death, alan sistemin paketleri tekrar eski haline getirebilmesi asndan, ok byk birden fazla IP paketleri gndererek sistemin kilitlenmesine yol aan bir saldrdr. Ping of Death, saldrnn kurban olan ve servera erimeye alan clientlar iin bir DoSa neden olur. SSPing , eitli paralanm ICMP paketlerini hedef sisteme gnderen bir programdr. Bu, paralanm paketleri tekrar eski haline getirmeye alan sistemin donmasna neden olur. LAND saldrs, kaynak IP adresinin hedef sistemin IP adresi ile ayn olarak ayarlanm bir sisteme bir paket gnderir. Sonu olarakda sistem kendine reply yapar ve sistem kaynaklarn boan bir dng yaratlr ve sonunda iletim sistemi ker. CPU Hog, hedef sistem zerindeki ilemci kaynaklarn bitirip tketen, kullancnn sisteme ulaamamasn salayan bir DoS saldrs gerekletirir. WinNuke, hedef sistemi ak olan 139.port zerinden takip eder ve bu port zerinden hedefe ie yaramaz IP trafii gnderir. Bu saldrya Out of Bounds (OOB) saldrsda denir ve IP ynnn ar yklenilmesine neden olur ve sonunda da sistem ker. Jolt2, bir Windows alan hedefe byk miktarda paralanm paketler gnderen DoS aracdr. Bu ilem, sistem kaynaklarn boar ve sonu olarak da sistemi kilitler. Jolt2 bir ok Cisco router gibi Windowsa zel deildir. Dier baz gatewaylerde Jolt2 saldrsndan etkilenebilir. Bubonic, rastgele ayarlar ile TCP paketleri gnderen DoS aracdr. Ama, hedef sisteme ar yklenmek ve sistemi kertmektir. Targa, 8 farkl DoS saldrsn gerekletirmek iin kullanlan bir programdr. Saldrgann tekil saldrlar yapabilmesi iin veya bir tanesi baarl olana kadar tm saldrlar gerekletirebilmesi iin seeneklere sahiptir. RPC Locator, eer patchlenmemi ise overflowlar(tama) bozmak iin a olan bir servistir. Windows iindeki bu servis network zerinde datk olan uygulamalarn almasn salar. DoS saldrlarna kar msaittir ve bir ok DoS saldrs gerekletiren ara bu aktan faydalanr.

DoS saldrlar saldrgann son kurbana kar saldr yapmak iin kulland riskli sistemlere BOTlar ve BOTNETler tarafndan gerekletirilebilir. Tehlikedeki sistem veya network, ikincil kurbandr. DoS veya DDoS saldrlar yaplan kurban ise birincil kurban veya hedeftir. DDoS Saldrlarnn almas : DDoS saldrs DoS saldrsnn gelimi halidir. DoSdaki gibi DDoS, sistemdeki alan servislere, hedef sistemin ileyemeyecei miktarda paketler gndererek kullanlmaz hale getirir. DDoS saldrsnn temeli DoS taki tek bir host zerinden saldrnn yaplmas yerine ok sayda host zerinden saldrlar gerekletirebilmesidir. DDoS geni apl, kurban sistem zerine dzenli, koordineli saldrlar yapabilen bir saldr trdr.

Si

na

80

st

CEH Chapter 7

Hacking Aralar Trinoo, DDoS saldrlar gerekletirmek iin UDP trafii gnderen bir aratr. Trinoo master, bir veya daha fazla hedef sisteme kar bir DoS saldrs gerekletirmek iin kullanlan bir sistemdir. Master, bir nceki tehlikeye dm olan sistemdeki ajan processlere (daemons denir) bir veya daha fazla IP adresine saldr yapmalar iin yol gsterir. Bu saldr belirli zaman aralklarnda gerekleir. Trinoo agent veya daemon, buffer overflow an salamak iin sistem zerine yklemesi yaplr. WinTrinoo, Windows iletim sistemi versiyonudur ve Trinoo ile ayn ilevlere sahiptir. Shaft, Trinoodan tretilen bir aratr ve masterlar ve agentlar arasnda UDP iletiimi iin kullanlr. Shaft, saldrgann kurban sistemin ne zaman kapatlacan bilmek iin kullanaca flood saldr istatistikleri salar. Shaft, UDP, ICMP ve TCP flood (ar miktarda paket gnderimi)saldr seeneklerine sahiptir. Tribal Flood Network (TFN), saldrgana band genilii ve kaynak tketme saldrlarnn her ikisini gerekletirmesini salar. TFN arac, UDP ve ICMP flood saldrs ve ayn zamanda TCP SYN ve smurf saldrlar yapar.TFN2K, TFN tabanldr. TFN2K trafiinin tanmlanmasn ve filtrelenmesini zorlatrmak iin zel olarak dizayn edilmi zellie sahiptir. Uzaktan komutlar altrabilir, Ip spoofing ile saldrnn kaynan gizleyebilir ve UDP, ICMP ve TCP dahil bir ok tama protokoln kullanabilir. Stacheldraht, TFNe benzer ve ICMP flood, UDP flood ve TCP SYN saldr seeneklerine sahiptir. Ayrca saldrgan ile agent sistemler (ikincil kurban) arasnda gvenli Telnet iletiimi salar (symetric key encryption kullanarak). Bu, adminin trafii tanmlamasna ve nlemesine engel olur.

Saldr altndaki servisler primary-birincil kurbandr;saldr balatmak iin kullanlan risk altndaki sistem ise secondary-ikincil kurbandr. Birincil kurbana DDoS gnderen risk altndaki sistemler bazen zombie ler veya BOTlar olarakda ifade edilir. Genelde baka bir saldr ile risk altna girerler ve sonrada birincil kurbana belli bir zamanda veya artlar altnda saldr balatmak iin kullanlr. Saldrnn kaynan takip etmek zordur nk bir ok Ip adres kaynak olarak grlr. Normalde DDoS 3 ksmdan oluur : Master/Handler Slave/secondary_victim/zombie/agent/BOTNET Victim/Primary_victim

Master saldr baatandr. Slave, master tarafndan kontrol edilen ve riske atlan bir hosttur. Victim, hedef sistemdir. Master, victim (kurban) sisteme saldry balatmak iin
slavei ynlendirir. DDoS iki aamada gerekleir. Intrusion aamasnda hacker dnyadaki farkl networklerde bulunan zayf sistemleri etkiler ve DDoS aralarn risk altndaki bu slave sistemlere ykler. DDoS saldr aamasnda slave sistemler birincil kurbana saldrya neden olmak iin tetiklenirler.

Si

na

81

Mstream, hedefe saldr iin ACK flag ayarn yaparak TCP paketlerinde hile yapmak iin kullanlr. Bir handler ve agent ksm vardr fakat handler ksmna eriim ifre korumaldr.

st

CEH Chapter 7

BOTlarn ve BOTNETler Nasl alr : BOT, ksa bir web robot ve zekice davranan otomatik yazlm programdr. Spamclar, habergruplarna veya maillere otomatik olarak spamlar gndermek iin sk bir ekilde BOT kullanrlar. BOTlar ayrca uzaktan saldr aralar olarak da kullanlr. ok sk olarak BOTlar web sayfa arayzl web yazlm agentlar olarak kullanlr. rnein, web crawlerlar (spiderlar) web sayfas hakknda bilgi toplayan web robotlardr. En tehlikeli BOTlar kt ama iin kullancnn bilgisayarna kendi kendilerine yklemeyi yapanlardr. Baz BOTlar anlk mesajlama, IRC veya dier web arayzleri kullanlarak internet zerinden dier kullanclar ile iletiime geebilir. Bu BOTlar IRQ kullanclarna dz ingilizce ile soru sormalarna izin verir ve sonrada uygun cevaplar hazrlar. Bu gibi BOTlar bir ok grevi idare edebilirler, bu grevler iinde hava durumu raporlama, zip kod bilgisini salama, spor sonularn listeleme, l birimlerini evirme bulunur. BOTNET, BOT sistemlerinin oluturduu gruptur. BOTNETler DDoS saldrlar, spam iin SMTP mail gndermeler veya yaratma, Internet pazarlama sahtecilii, yazlmlarn serial numaralarn, login IDleri veya kredi kart numaralarn alma gibi eitli amalara hizmet ederler. Genelde bir BOTNET koordineli DDoS saldrs balatmak amal olarak bir BOT alan risk altndaki sistemler topluluunu ifade eder.

SYN Flooding ?:

Bir SYN flood saldrs bilgisayarn ileyebileceinden daha hzl TCP balant istekleri gnderir. Saldrgan her bir paket iin rastgele kaynak adres retir ve SYN flag servera sahte kaynak adres ile yeni bir balant istei iin ayarlanr. Kurban sahte Ip adrese cevap verir ve hi bir zaman ulamyacak olan TCP onayn bekler. Sonu olarak kurbann balant tablosu beklenen reply mesajlar ile dolar; tablo dolduktan sonra tm yeni balant istekleri reddedilir. Normal kullanclarnkide reddedilir ve servera eriilemez. Baz SYN Flood saldrlarn nlemenin yollar SYN cookieler, RST cookieler, Micro Blocklar ve Stack Tweakingdir. DoS ve DDoS Saldrlarna Kar nlemlerin Aklanmas : DoS saldrlarn tespit etmek, durdurmak ve nlemek iin eitli yollar vardr. Aadakiler mevcut yaygn gvenlik zelliklerini aklar : Network-ingress (giri yetkisi) filtreleme : Tm network eriim salayclar networkingress filtrelemesini herhangi bir fake veya hileli adresden internete gnderilen paketlerden herhangi alt networklere uygulamak zorundadr. Bununla birlikte bu ilem

Si

na

Smurf saldrs, kaynak adres olarak kurbann adresi ile deitirilmi byk miktarlarda ICMP echo (ping paketleri) paketlerini, broadcast olarak networke gnderir. Bu Ip networkte bulunan her bir secondary kurban ICMP echo request isteine, ICMP echo reply mesaj ile cevap verir, host says ile trafik daha fazla artarak cevap verilir. Multiaccess broadcast networkte yzlerce bilgisayar her bir pakete cevap verir. Bu ping reply mesajlar ile bym olan DoS saldrs yaratr, birincil kurbana ar miktarda veri gider. IRC serverlar internet zerinde smurf saldrlar iin birincil (primary) kurbandr.

82

st

Smurf Saldrs :

CEH Chapter 7

bir saldrnn olumasn durdurmaz, kaynak adresten gelen saldrnn takibini daha kolay yapar ve saldry hzl bir ekilde sonlandrabilir.

Rate-limiting network trafik : Gnmzde piyasadaki bir ok router, harcanacak baz trdeki trafiin bandgeniliini snrlamanza izin veren zellie sahiptir. Bu zellik traffic shaping olarakda bilinir. Intrusion detection systems (Saldr nleme sistemleri) : IDS, slave, master veya agent
olan makineler ile iletiim kuran saldrganlar tespit etmek iin kullanlr. Bunu yapmak size networknzdeki bilgisayarlar kullanlarak bilinen saldrlarn balatldn bilmenizi salar fakat muhtemelen bu saldrlarn yeni versiyonlarn veya saldry yapan aralar tespit edemiyecektir. Bir ok IDS reticileri Trinoo, TFN veya Stacheldraht network trafiini tespit edecek imzaya sahiptir.

Host-auditing (Host denetleme) aralar : Dosya tarama aralar, networknzdeki

bilgisayarlarnzda alan mevcut DDoS agentlartespit edecek aralara sahiptir.

Otomatik network izleme aralar : Sahte adreslere sahip paketlerin aklarn network
boyunca takip etme zaman olarak nemli bir grevdir ve saldr ilemdeyken tamamlanmas gerekir.
DoS Tarama Aralar

RID cretsiz Trinoo, TFN ve Stacheldraht clientlar tespit eden bir tarama aracdr.

Session Hijacking :

Session hijacking, kullancnn server ile baarl bir otantikasyonu salamasndan sonra hackern kullanc oturumunun kontroln almasdr. Session hijacking, client/server iletiiminin geerli olan oturumum IDsinin belirlenmesi iin saldr yaplmasna baldr. Session hijacking, sra numaras tahmin edebilen aralar ile yaplmas mmkndr. Sra numaras tahmin etme ileminin detaylar ilerleyen blmlerde incelenecektir. Spoofinge Kar Hijacking : Spoofing saldrlar hijacking saldrlarndan farkldr. Spoofing saldrsnda hacker sniffing ilemini gerekletirir ve gnderenden alcya doru network boyunca giden trafii dinler. Daha sonra hacker spoof ile elde ettii bilgiyi kullanr veya normal bir

Si

Zombie Zapper, zombie sistem flooding paketlerine saldry durdurmasn bildirir. Saldrgann kulland ayn komutlar ile saldry durdurabilirsiniz.

na

SARA, uzaktaki bilgisayarlar ve neworkler hakknda network servislerini incelemek suretiyle bilgi toplar. Bu bilgiler iinde network bilgi servisleri ve ayn zamanda hatal kurulmu veya konfigre edilmi network servisleri, sistem veya network aralarndaki Common Vulnerabilites and Exposures (CVE) veritabannda listelenmi olan bilinen buglar gibi potansiyel gvenik kusurlar ve zayf ilke kararlar bulunur.

83

Find_ddos, lokal bir sistemi muhtemel bir DDoS program iin tarayan aratr. Bir ok bilinen DDoS saldr aralarn tespit edebilir.

st

CEH Chapter 7

sistemin adresini kullanr. Hijacking saldry gerekletirmek iin aktif olarak kullancy offline yapmasn gerektirir. Saldrgan kullancnn balanty yapmasna ve otantikasyonu salamasna bel balar. Bu aamadan sonra saldrgan oturumu ele geirir ve o anki kullancnn oturumu sonlanr. Session hijacking saldrsnn devam edebilmesi aadaki 3 aamaya baldr :

Oturumu zleme : Hacker ak bir oturumu belirler ve bir sonraki paketin sra numarasn
tahmin eder.

Balanty Desonkronize Etmek : Hacker geerli kullancnn sistemine TCP reset (RST)
veya Finish (FIN) paketini oturumunu kapatmak iin gnderir.

Saldrgann Paketini Yerletirmek : Hacker servera tahmin ettii sra numaral TCP
paketini gnderir ve server gelen paketi doru kullancnn bir sonraki paketi olarak kabul eder.

Hackerlar iki trl session hijacking yntemi kullanabilir : aktif ve pasif. Aktif ve pasif arasndaki birincil fark hackern oturumdaki katlm seviyesidir. Aktif saldrda, saldrgan bir aktif oturum bulur ve TCP oturumunda bir sonraki paketin sra numarasn tahmin eden aralar ile oturumu devralr. Pasif saldrda, saldrgan oturumu devralr ve sonrada dier normal kullanclardan gnderilen tm trafii gzlemler ve kaydeder. Pasif session hijacking ileminin sniffing den fark yoktur. ifreler gibi bilgileri toplar ve daha sonra bu bilgiyi baka bir oturumda otantikasyonu salamak iin kullanr.
TCP Kavramlar : Three-Way Handshake TCPnin temel zelliklerinden biri gvenilir olmas ve paketlerin sral olarak teslim edilmesidir. Bunu yapmak iin TCP acknowlegments (ACK-Onay) paketlerini ve sra numaralarn kullanr. Bu numaralar ile oynamak TCP sesson hijacking saldrsnn temelidir. Session hijacking saldrsn anlayabilmek iin nceki chapterlarda anlattmz Three-Way handshake kavramna tekrar bakalm : 1. Geerli kullanc server ile bir balant gerekletirir. Bu ilem servera SYN biti ve kullancnn initial sequence number (ISN) ayarlanm bir paket gndermesiyle tamamlanr. 2. Server paketi alr ve geriye SYN bit ve servern ISBN, art bir artla kullancnn ISNini belirlemek iin ACK bit yerletirilir. 3. Geerli olan kullanc server, dnen Ack biti eklenmi ve birer artm servern ISNi ile onaylar. Bu balant, zaman am veya, FIN veya RST flag yerletirilmi bir paket ile kapatlabilir. RST flag yerletirilmi paketin alnmasyla, alc sistem balanty kapatr ve oturum iin gelen paketler kabul edilmez. Eer paket iinde FIN iareti varsa alc sistem balanty kapatma ilemine geer, kapanma srasnda gelen paketler kabul edilir. FIN veya RST iaretli paketler Sra Tahmini : session hijacking iin kullanlan en yaygn yntemlerdir.

TCP balantl bir protokoldr, gelen paketleri orjinal srasna gre tekrar oluturmaktan sorumludur. Bu yzden her paket sequence number (SN) denilen esiz bir numaraya sahiptir. Her paket atanm esiz bir numaraya sahip olarak, alnan tarafta

Si

na

84

st

Session Hijacking eitleri :

CEH Chapter 7

orjinal srasna gre tekrar birletirilebilir. Eer paketler sralarna gre gelmezlerse sequence number, paketleri sraya koymak iin kullanlr. Biraz evvel anlatld gibi sistem TCP oturumunu SYN biti eklenmi bir paket gndererek balatr. Bu pakete synchronize packet denir ve clientn Initial Sequence Numbern (ISN) ierir. ISN drt milyar muhtemel kombinasyonla yaratlm rastgele bir numaradr. Acknowlegment (ACK) paketi gnderildiinde, her bilgisayar paketteki SNyi kullanarak onay verir ve bir artrr. Bu ilem sadece belirli bir paketin almn onaylamak deildir, gnderene bir sonraki paketin beklenen sra numarasn syler. Three-way handshakede (3 ynl antlama) art miktar birdir. Normal veri iletiimlerinde art miktar verinin byte olarak boyutuna eittir (rnein, 45 bytelk bir veri transfer ediyorsanz ACK, paketin sra numarasna 45 ekleyerek cevap verir). Aadaki ekil sra numaralarn ve TCP three-way handshake srasndaki onaylamay gsterir.

Session hijackingde kullanlan aralar sra numaras tahmin etme ilemini yaparlar. Baarl bir TCP sra numaras tahmin saldrs iin hacker iki sistem arasndaki trafii inceler. Sonrada hacker veya hacking arac sra numarasn tahmin eder veya bir sonraki sra numarasn hesaplamak iin ISNi bulur. Bu ilem sylenenden daha zordur nk paketler ok hzl gider. Eer hacker iletiimi sniff edemezse yani iletiim boyunca kullanlan paketleri yakalayp inceleyemez ise bir sonraki sra numarasn tahmin etmek ok daha zor olacaktr. Bu nedenle bir ok session hijacking arac sra numaralarn belirlemek iin sniffing ilemine izin veren zelliklere sahiptir. Hackerlar, hedef sistem ile oturum am olan sisteme ait, sahte IP adres kullanarak paketler yaratrlar. Hacking aralar hedef sistemin beklemekte olduu sra numarasna sahip paketler oluturur. Fakat Hackern paketi gvenilen sistemin paketinden nce varmaldr. Bu ilemde gvenen sisteme youn bir ekilde paketler gndererek veya gvenen sisteme bir RST paketi gndererek ve bylecede hedef sisteme giden paketlerin ulamasn engellenmesiyle gerekleir. Session Hijacking leminin Uygulama Admlar : zet olarak session hijacking saldrsn devam ettirmek iin aadaki 3 adm gerekir :

Oturumu Takip Etme : Hacker ak bir oturumu belirler ve bir sonraki paketin sra
numarasn tahmin eder.

Si

na

85

st

CEH Chapter 7

Balanty Desonkronize Etmek : Hacker geerli kullancnn sistemine TCP reset (RST)
veya Finish (FIN) paketini oturumunu kapatmak iin gnderir. Sras ile hacker kullancnn serverdan iletiimini kesmek iin DoS saldr arac kullanabilir.

Saldrgann Paketini Yerletirmek : Hacker servera tahmin ettii sra numaral TCP
paketini gnderir ve server gelen paketi doru kullancnn bir sonraki paketi olarak kabul eder.
Hacking Aralar Juggernaut, TCP oturumlarn ele geirmek iin kullanlan bir Network sniffer aracdr. Linux iletim sisteminde alr ve tm network trafiini izlemek iin kullanlr veya verilen bir kelime ile rnein password arama yapar. Program tm aktif network balantlarn gsterir ve hacker ele geirecei oturumu seer. Hunt, network zerinde oturumu ele geirmek ve sniff ilemi iin kullanlr. Hunt, balant ynetimi yapabilir, ARP spoofing, balanty sfrlama, balantlar takip etme, MAC adres bulma ve TCP trafik yakalama ilemlerini yapabilir. TTYWatcher, session hijacking aracdr. Bu ara hackern ele geirdii oturuma sanki hi almam gibi geri dnmesini salar. Sadece Sun Solaris sistemlerde alr.

Session Hijackingin Oluturduu Tehlike : TCP session hijacking tehlikeli bir saldrdr. Bir ok sistem bu saldrya kar savunmaszdr nk bu sistemler birincil iletiim protokol olarak TCP/IP protokol kmesini kullanr. Yeni iletim sistemleri kendilerini session hijacking saldrsna kar korumak iin ISN hesaplamas iin rastgele say reticiler kullanr, bu sayede sra numarasn tahmin etmek ok daha zorlar. Bununla birlikte saldrgan, bu saldry gerekletirmek iin gerekli bilgiyi salayacak olan paketleri inceleyecek olursa bu gvenlik nlemi ok da verimli olmyacaktr. Aadaki nedenler session hijacking saldrsndan uzak durmann bir CEH iin neden nemli olduunu belirtir : Bir ok bilgisayar savunmaszdr. Bu saldr iin ok az kar nlem mevcuttur. Session hijacking saldrsn balatmak basittir. Hijacking tehlikelidir nk saldr srasnda nemli bilgiler elde edilir.

Si

na

Remote TCP Session Reset arac o anki TCP oturumunu ve Ip adresleri ve port numaralar gibi balant bilgilerini grntler. Bu ara birincil olarak TCP oturumlarn sfrlamak iin kullanlr.

T-Sight, oturum takip etme ve bir networke girme veya tehlikeye atma ilemi srasnda yardm eden Windows hajacking aracdr. T-Sight ile sistem admini, tm network gerek zamanl olarak takip edebilir ve meydana gelen herhangi bir pheli hareketi gzlemleyebilir. Ayrca T-Sight networkde herhangi bir TCP oturumunu ele geirebilir. Gvenlik nedeniyle Engarde Systems sadece kaytl IP adreslerine lisanslamaktadr.

86

st

IP Watcher, saldrgann balantlar takip ettii ve oturumlar ele geirdii ticari bir session hijacking aracdr. Network zerindeki tm balantlar takip edebilir, saldrgann bir oturumun tam bir kopyasn gerek zamanl olarak seyretmesini salar.

CEH Chapter 7

Session Hijacking Saldrsn Nasl Durdurabilirsiniz : Oturumu elegeirme saldrsna kar savunma iin, networkte eitli gvenlik yntemleri kullanlmaldr. En iyi koruma yntemi IPSec gibi encryption kullanmaktr. Bu ayrca sniffing ilemine bal dier saldrlara karda savunma salyacaktr. Saldrganlar belki balantnz pasif olarak takip edecekler fakat encryptlenmi verinizi okuyamyacaklardr. Dier bir kar nlem yntemi ise SecureShell (SSH, enryptlenmi Telnetdir) ve Secure Socket Layer (SSL, HTTPS trafii iin kullanlr) gibi encryption uygulayan uygulama kullanlmasdr. Session Hijacking saldrsn nlemeye yardm etmek iin networknze eriimi elde etmenin potansiyel yntemlerini azaltabilirsiniz. rnein, ierdeki sistemlere uzaktan eriimi kapatmak. Eer networknzde uzaktan balant yapp ilerini yapmak isteyenler varsa, tnelleme protokolleri ve encryption (Layer3 Tnneling Protocol[L3TP]/Point-to-Point Tunneling Protocol [PPTP] ve IpSec) kullanan VPN kullanlabilir. Bir ok gvenlik alarnn kullanlmas potansiyel tehditlere kar daima en iyi nlemlerdir. Bir tane nlemi uygulamanz yeterli olmyacaktr fakat hepsini birden kullanmanz profesyonel saldrganlarn baar orann en aza indirecektir. Session Hijacking saldrlarn nlemek iin uygulanmas gereken nlemelerin kontrol listesi : Encryption kullan Gvenli protokol kullan Gelen balantlar snrla Uzaktan eriimleri en aza indir Gl otantikasyon kullan alanlar eit Farkl hesaplar iin farkl kullanc ad ve ifreler kullan

Si
87

na

st

CEH Chapter 8

Web Serverlar Hacklemek, Web Uygulamalarndaki Aklar ve Web Tabanl ifre Krma Teknikleri
Web serverlar ve web uygulamalar risk asndan yksek potansiyele sahiptir. Bunun birincil nedeni web server uygulamasnn alt sistemlerin internet zerinde herkes tarafndan ulalabilir olmasdr. Bir kez bir web server tehlike altna girdiinde sistem, hackerlara network iinde baka bir kap salyacaktr. Tabi sadece web server yazlm deil ayrca web server zerinde alan uygulamalarda saldrya ak ve smrlmeye msaittir. levlerinden dolay web serverlar dier sistemlere gre daha fazla eriime ve daha az gvenlie sahiptir. Bir web server Internet zerinde 7 gn 24 saat eriilebilir durumdadr. Buda network zerinde bunlar kolay saldr noktas yapar. Bu chapter, web serverlara kar ve ayn zamanda web uygulamalarna kar gerekletirilen saldrlar ve zayf noktalarndan bahsedecektir.

Web Serverlar Hacklemek :

Bir CEH olarak web serverlarn nasl hacklendiini bilmek iinizin nemli bir parasdr. Buda, web serverlarn zayf noktalarn bilmeniz ayn zamandada bir hackern kulland saldr eitlerini IIS Unicode exploitleri dahil- ierir. Ek olarak patch ynetme tekniklerinin ne zaman kullanldn ve web serverlar nasl daha salam yapacanz bilmeniz gerekir. Web Serverdaki Zayflklarn eitleri :

Hackerlar bu aklardan faydalanarak web serverlara eriim salarlar. nk, web serverlar DMZ (Demilitarized Zone) denilen iki paket filtreleme cihaznn arasnda herkes tarafndan eriime ak bir blgede bulunurlar ve irketteki clientlar tarafndan ok kolay eriime sahiptirler, web serverdaki bir exploit hackera ierdeki sistemlere ve veritabanlarna kolay bir ekilde eriim salar.

Not : Website Cloaking, web servern farkl trdeki web sayfalarn kullancnn IP adresine gre grntler.
Web Serverlara Kar Yaplan Saldrlar Anlamak : Web serverlara kar en fazla grlen saldr ekli tahrifattr. Hackerlar, web sitelerini haz iin tahrif ederler ve nlerini artrmak iin bir ans olarak grrler. Bir web sitesini bozmak veya tahrif etmek demek, hackern iletim sistemindeki veya web server

Si

na

Hatal konfigrasyona sahip web server yazlm letim sistemi veya uygulamalardaki buglar veya program kodundaki kusurlar letim sisteminin ve web server yazlmnn default yklemesindeki zayf noktalar ve/veya iletim sistemi veya web server yazlmnn gncellenmesindeki patch ynetim eksiklii Gvenlik ilkelerine veya prosedrlerine uyulmamas ve bunlardaki eksiklikler

Dier sistemler gibi web serverlarda hackerlar tarafndan tehlikeye atlabilir. Aadaki zayf noktalar web serverlarda yaygn olarak faydalanlan ksmlardr :

88

st

CEH Chapter 8

yazlmndaki bir aktan faydalanmak ve web sitesinin dosyalarn sitenin hacklendiini gstermek amacyla deitirmektir. Genelde de hacker web sitesinin ana sayfasnda hacker ismini yazar. Bir web sitesinin hacker tarafndan tahrif edilmesini salamak iin yaygn olan web sitesi saldrlar : Man-in-the-middle saldrlar ile administrator kimlik bilgilerini yakalamak Brute-force saldrs ile administrator ifresini meydana karmak DNS saldrs ile kullanclar farkl web servera ynlendirmek Mail server veya FTP server riske atmak Bir ak sayesinde web uygulamalarnn buglarndan yararlanmak Web paylamlarnn hatal konfigrasyonu zin zaaflarndan yararlanmak Bir firewall veya router saldrsndan sonra bir client tekrar ynlendirmek SQL injection saldrlarn kullanmak (SQL Server ve web server ayn sistemde ise) Telnet ve Secure Shell ihlallerini kullanma Kullanclar farkl URLye ynlendiren URL poisoning ilemini gerekletirmek Web server extension veya remote service ihlalini kullanmak Cookielerin aktif olduu gvenlikde- client ile server arasndaki iletiimi nlemek ve cookie deitirip servern, kullancnn yksek ayrcalklara sahip olduuna inandrmak.

IIS Unicode Exploitleri :

IIS alan Server 2000 sistemler, Unicode exploit iin elverilidir. IIS iindeki unicode exploit a patchlenmemi Windows 2000 sistemlerde meydana gelir, CGI scriptlerini ve .ASP gibi ISAPI uzantlarn etkiler. Bu aklk bulunmaktadr nk IIS ayklayc, unicode tercmesini dzgn yapamaz, hackera sistem seviyesinde eriim salar. Temel olarak, Unicode herhangi bir dildeki karakterleri evrensel hex code zelliine evirir. Bununla birlikte unicode iki kez evirme yapar ve sadece taranan istek sonucunu bir kez derler (takip eden ilk evirme). Hackerlar bundan dolay IIS zerinden dosya isteklerini gizlice gerekletirir. rnein, IISin savunmaszlnn relative pathname exploitler iinde yol amak yerine %c0% af den yararlanmak. Baz durumlarda istek, hackera baka durumlarda gremiyecei dosyalara eriim salar. Unicode directory traversal a, hackerlarn dosyalar silme, ekleme veya deiklik yapabilmelerini veya servera kod yklemeyi ve altrmay salar. Dosyalar ekleme veya altrma sayesinde hackerlar sisteme backdoor veya bir Trojan ykleyebilirler.

Not : IIS Unicode exploit artk geersiz olan bir aklkdr ve bu yazda sadece ne olduu sylenmitir.
Patch Ynetim Teknikleri : Patch ynetimi, sistem reticisi tarafndan gerekli olan uygun patchlerin ve hotfixlerin gncellenmesidir. Dzgn bir patch ynetimi, patchlerin nasl yklenecei ve dorulanaca ve bu patchleri yklemeden nce bir test ortamnda test edilmesi eklinde gereklemesi gerekir. Her bir sisteme uygulanan tm patchlerin bir logu mutlaka tutulmaldr. Patch yklemesini daha kolay hale getirmek iin PatchLink, St.Bernard, Microsoft veya dier

Si

na

89

st

CEH Chapter 8

yazlm reticilerinin patch ynetim sistemleri kullanlabilir, bu sayede sistemlerinizin bir deerlendirmesini yapabilir ve hangi patchlerin uygulanacana karar verebilirsiniz.
Hacking Aralar N-Stalker Web Application Scanner, bir web uygulamasndaki SQL injection, buffer overflow, cross-site scripting ve parameter-tampering gibi saldrlara kar mevcut aklarn deerlendirme ilemini yapmanz salar. Metasploit framework, iletim sistemini veya web server yazlmn hacklemek veya test etmenizi salayan cretsiz bir yazlmdr. Exploitler, plug-inler gibi kullanlabilir ve Windows veya Unix sistemler zerindeki almalar test edilebilir. Metasploit orjinal olarak komut satr aracdr fakat imdi bir web arayzne sahiptir. Metasploit kullanarak, hackerlar kendi exploitlerini yazabilir ayn zamanda standart exploitleride kullanabilirler. CORE IMPACT ve SAINT Vulnerability Scanner, test ve iletim sistemlerini ve web server yazlmn riske atmak iin kullanlan ticari exploit aralardr.

Bir Web server admini server daha salam (gvenliini artrmak) hale getirmek iin bir ok ey yapabilir. Aadakiler bir web servern gvenliini artrmann yollarn gsterir : Administrator hesabnn ismini deitirin ve gl bir ifre kullann Default web sitelerini ve FTP sitelerini disable yapn Serverdan WebDAV gibi kulanlmayan uygulamalar kaldrn Web servern konfigrasyon ayarlarndan directory browsing ayarn disable yapn Sitenize, potansiyel saldrganlar iin sitenin hacklenmesinin anlamn belirten yasal not ekleyin letim sisteminin ve web server yazlmnn mevcut pek ok patchlerini, hotfixlerini ve service packlerini ekleyin Web formlar ve sorgu stringlerinin girileri zerinde buffer overflow veya kt niyetli giri saldrlarn nlemek iin bounds-checking uygulayn Uzaktan ynetimi iptal edin 404 (Dosya Bulunamad) hata mesajndaki kullanlmayan dosya uzantlarn belirlemek iin bir script kullann Denetleme (Auditing) ve log ilemini aktif hale getirin Internet ve web server arasnda bir firewall kullann ve sadece gerekli portlara izin verin (80 ve 443 gibi) Web servera veri gnderirken GET yerine POST yntemini kullann

Not : Cross site scriptinge kar nlem iin < ve > karakterlerini &lt ve &gt karakterleri ile server scriptlerini kullanarak deitirin. SSL saldrlarna kar proxy server kurun ve proxyde SSLi sonlandrn veya donanmsal SSL hzlandrc ykleyin ve bu katmanda SSLi sonlandrn.

Web Uygulamasndaki Aklar :

Bir web serverdan hackern nasl faydalandn anlamaya ek olarak, bir CEH iin bir web uygulamasnn aklar ile aina olmak da nemlidir. Bu blmde web uygulamalarnn nasl alt ayn zamanda web uygulamasnn hacklemenin amalar zerinde duracaz.

Si

na

90

st

Web Server Salamlatrma Yntemleri :

CEH Chapter 8

Ayrca bir web uygulamasna yaplan saldrnn anatomisi ve baz web uygulama tehlikelerini inceleyeceiz. Son olarakda Google hacking ve bilmeniz gereken nlemlere bakacaz. Web Uygulamalar Nasl alr : Web uygulamalar, kullanclara sadece bir web sitesinin tesinde ilevsellikler sunan, web server zerindeki programlardr. Database sorgular, webmail, sohbet gruplar ve web bloglarnn hepsi web uygulamalarna rnektir. Bir web uygulamas client/server mimarisini kullanr, web browser kullanan clientdr ve uygulama server rol stlenen ise web serverdr. JavaScript web uygulamalarn salamak iin popler bir yoldur. Web uygulamalarnn geni olarak kullanlmasndan beri web browser ile bir ok kullanc web siteleri ile etkileim salamtr. Web Uygulamasnn Hacklenmesinin Hedefleri : Bir web uygulamasnn hacklenmesinin nedeni gizli verilere eriimdir. Web uygulamalar sistem gvenlii iin kritik neme sahiptir. Bunun nedeni uygulamalarn kredi kart veya ifreler gibi kimlik bilgilerini barndran veritaban ile genelde balant kurmasdr. Web uygulamas aklar hackern iletim sisteminden ve web server veya web uygulama yazlmndan faydalanma riskini artrr. Web uygulamalar aslnda sisteme alan dier kapdr ve sistemi riske atmakda faydalanlr.

Web Uygulamasndaki Tehlikeler : Bir web server zerinde bir ok web uygulamalarnn neden olduu tehlike vardr. Aadakiler en fazla web uygulamalarnda bulunan tehlikelerdir :

Si
91

na

Web uygulamalarn hacklemek dier sistemleri hacklemek ile ayndr. Hacker be admlk bir ilemi takip eder: Network tararlar, farkl saldr senaryolar test etmek iin bilgi toplarlar ve son olarak saldry planlayp balatrlar. Aadaki ekil admlar listelemitir :

Bir Saldrnn Anatomisi :

st

CEH Chapter 8

Cross-site scripting : Bir web formuna girilen parametre web uygulamas tarafndan ilenir.
Deikenlerdeki doru kombinasyon, geliigzel komut almasna neden olur.

SQL injection : URL iine SQL komutlar girmek, database serverdaki veritaban bilgilerini
boaltmaya, deiiklik yapmaya, silmeye veya yaratmaya neden olur.

Command injection : Hacker, web form iine programlama komutlar girer. Cookie poisoning ve snooping : Hacker, cookieleri alar veya bozar. Buffer overflow : Byk miktarlarda veri web form zerinden web uygulamasna
gnderilerek komut altrlr.

Authentication hijacking : Hacker, kullancnn otantikasyonu salandktan sonra oturumu

ele geirir.

Directory traversal/Unicode : Hacker, web tarayc veya Windows explorer vastas ile sistem
zerindeki klasrlere bakar.
Hacking Aralar

Instant Source, hackern HTML kaynak kodunu editlemesini ve grmesini salar. Direk olarak web taraycsndan kullanlabilir.

WSDigger, web servisleri test aracdr. SQL injection, cross-site scripting ve dier web saldrlar iin rnek saldr plug-inleri bulunur. Burp, web uygulamalar iin otomatik olarak saldr yaplmasn salayan Windows tabanl aratr. Ayrca web uygulamalarndaki ifreleri tahmin etmek iin ve man-in-the-middle saldrs iin kullanlabilir.

Google Hacking : Google hacking, googleun gl arama motorunu kullanarak deerli hedefleri bulmak veya ifreler gibi deerli bilgileri aramak anlamn tar. http://johnny.ihackstuff.com ve Acunetix Web Vulnerability Scanner gibi bir ok ara arama ilemini daha kolay hale getirmek iin bir veritabannda organize edilmi google hacking terimlerini liste halinde bulundurur. rnein, Google arama motorunda password veya medical records gibi bir terim girebilirsiniz ve ne tr bilgilere ulalabildiini grebilirsiniz. Bir ok kez Google bilgiyi direk olarak zel veritabanlarndan veya dkmanlardan eker.

Si

SiteScope, bir web uygulamasnn iindeki balantlarn ayrntl haritasn karr ve programn yapsal zmlemesine yardm eder.

na

BlackWidow, bir sitenin profilini karmak iin web sitesinin tm sayfalarn tarar ve adresler.

WebSleuth, tm web sitesini indexlemek iin spidering teknolojisini kullanr. rnein, WebSleuth bir web sitesinin farkl sayfalarndan tm mail adreslerini ekebilir.

92

Wget, hackern tm web sitesini download etmesini , tm dosyalarla birlikte salar. Hacker kaynak koduna offline olarak bakar ve gerek web servera saldr yapmadan nce saldrsn test eder.

st

CEH Chapter 8

Web Uygulamalar in nlemler : Yaygn olan web uygulamalarndaki aklar iin kar nlemler mevcut. Aadakiler bir nceki blmde belirtilen web uygulamalarndaki aklar iin nlemleri listeler :

Cross-site scripting : Cookieleri, sorgu stringlerini, form alanlarn ve gizli alanlarn

dorulamasn yapn.

SQL injection : Kullanc deikenlerin dorulayn. Command injection : Programlama dili iin dile zel ktphaneler kullann. Cookie poisoning ve snooping : Cookie iinde ifreleri tutmayn. Cookieler iin zaman am
ve otantikasyon cookielerini kullann.

Bufferoverflow : Kullanc giri uzunluunu dorulayn ve bounds checking ilemini

gerekletirin.

Authentication hijacking : Trafii encryptlemek iin SSL kullann

Web Tabanl ifre Krma Teknikleri :

Otantikasyon eitlerini Listelemek : Web serverlar ve web uygulamalar farkl otantikasyon eitlerini destekler. En yaygn olan HTTP otantikasyonudur. ki eit HTTP otantikasyonu vardr : basic ve diggest. HTTP otantikasyonu, kullanc adn ve ifreyi dz metin olarak gnderir halbuki digest otantikayon kimlik bilgilerini hashe tabi tutar ve otantikasyon iin challenge-response modelini kullanr. Ek olarak, web serverlar ve web uygulamalar NTLM, sertifika tabanl, token tabanl ve biometric otantikasyonlarda destekler. NTLM otantikasyonunu Internet Explorer ve web serverlar kullanr, NTLMi intranet iindeki otantikasyonlarda daha kullanl yapan Windows sistemlerde kullanlyor olmasdr. Windows 2000 ve 2003 serverlar daha gvenli seeneklere sahip olan Kerberos otantikasyonunu kullanr. Sertifika tabanl olan otantikasyon, public/private anahtar teknolojisi iin x.509 sertifikasn kullanr. SecureID gibi bir token, 60 saniye iin bir otantikasyon kodunu gsterir. Kullanc bu kodu kullanarak login olur. Biometric otantikasyon parmak izi, gz retinas veya el izi gibi fiziksel karakterler ile kullancy otantike eder.

Si

na

Bir CEH olarak hackerlarn web tabanl ifreleri krma tekniklerini bilmeniz gerekir. Bilmeniz gerekenler iinde farkl otantikasyon eitlerini listeleyebilmek , ifre krcnn ne olduunu bilmek, ifre krma tekniklerinin snflandrlmalarn belirlemek ve mevcut olan nlemleri bilmekde bulunur.

93

st

Directory Traversal/Unicode : Web server zerindeki zel klasrler iin eriim haklar tanmlayn. Patchleri ve hotfixleri uygulayn.

CEH Chapter 8

ifre Krc : ifre krc, ifreleri zmek veya ifre korumasn iptal etmek iin dizayn edilmi bir programdr. ifre krclar dictionary aramalarna (saldrlarna) veya brute-force yntemlerine bal olarak ifre krarlar. Bir ifre Krc Nasl alr : Bir dictionary saldrsndaki ilk adm, bir szlk iinde bulanabilecek potansiyel ifreleri listelemektir. Hacker genelde bu listeyi bir dictionary generator program ile veya internetten bulabilecei szlkler ile yaratr. Bir sonraki aamada, szlk kelimelerinin listesi hashlenir veya encryptlenir. Bu hash listesi hackern krmaya alaca hashlenmi ifreler ile karlatrlr. Hacker, hashlenmi olan ifreyi kablolu veya kablosuz network dinleyerek veya direk olarak Security Accounts Manager (SAM) veritabanndan veya sistemdeki hard diskte bulunan shadow password dosyalarndan elde eder. Son olarak program ifrenin encryptinin zlm halini gsterir. Dictionary password krclar sadece szlk iinde bulunan ifreler ile ifreyi bulabilir. Eer kullanc gl bir ifre kullanm ise brute-force ifre krma yntemi kullanlabilir. Brute-force yntemi mmkn olan tm harf, say ve zel karakter kombinasyonlarn dener. Bu ilem dictionary saldrsndan daha uzun srer nk permutasyonlarn says fazladr. Password Saldrlarn Anlamak : Snflandrma ifre saldrlar 3 eittir :

Hacking Aralar

ifre Krmaya Kar nlemler : ifre krma saldrsna kar en iyi nlem, en az 8 karakter uzunluunda (Eski standart 6 idi) ve alfanumerik karakterler ieren gl ifreler kullanmaktr. Kullanc adlar ve ifreler farkl olmaldr, nk bir ok kullanc ad dz metin olarak iletilir. Byk harf, kk harf ve saylar veya zel karakterler bulunduran karmak ifrelerin krlmas zordur. Ayrca ifreleri aktarm srasnda korumak iin, Kerberos veya token gibi gl otantikasyon yntemlerini kullanmanz gerekir.

Si

Webcracker, bir web servera logon olmak iin bir kelime listesini kullanan aratr. ifre zerinde yaplan tahminler iin HTTP 302 object moved cevab gzkr. Bu mesajdan, ara otantikasyon ynteminin kullanmda olduunu belirler ve sisteme logon giriiminde bulunur.

na

Dictionary : Bir szlkte bulunan ifreler kullanlr Brute force : Harfler, saylar ve zel karakterler kullanlarak karmak ifreler tahmin edilir. Hybrid : Saylar ve zel karakter ieren szlk kelimelerini bir harf ile deitirerek kullanma

94

st

CEH Chapter 9

SQL Injection ve Buffer Overflow

SQL injection ve buffer overflow, kullancnn giri yapt alandan gnderilmesi asndan birbirlerine benzeyen exploitlerdir. Giri yaplan alan kullancnn, web sitesinden kullanc adn ve ifresini girdii yer, bir URLye veri ekledii veya baka bir uygulamadan bir kelime ile arama yapt yerdir. SQL server injection ve buffer overflow aklarnn her ikiside ayn nedenden dolay meydana gelir : geersiz parametreler. Eer programclar, kullancnn deiken bir alana girebildii deikenleri dorulamak iin vakit ayrmaz ise sonular ciddi ve tahmin edilemez olur. Kendini gelitirmi hackerler bu aktan faydalanr, bir alma hatasna neden olur ve sistemin veya uygulamann kapanmasna veya hacker iin bir shell komutunun altrlmasna neden olur.

SQL Injection
Bir SQL injection saldrs boyunca, hatal kod webdeki form alanna yazlr veya sistemin shell komutu veya istee bal komutlar altrmas iin web sitesinin koduna yerletirilir. Normal bir kullanc sorgular girerken ve web form aracl ile SQL veritabanna eklemeler yaparken, hacker ayn web form zerinden SQL servera komutlar girebilir. rnein, bir hacker tarafndan girilen bir komut, komut satrn aabilir veya vertabanndan bir tabloyu grntleyebilir. Veritabanndaki bir tablo, kredi kart numaralar, sosyal gvenlik numaras veya ifreler gibi kiisel bilgiler ierebilir. SQL veritabanlar en yaygn kullanlan veritabanlardr ve bir ok firma tarafndan nemli verilerin depolanmasnda kullanlr. Bu yzden SQL server saldr iin yksek nemde bir hedef halindedir. SQL Injection Saldrsnn Admlar :

Bir SQL injection saldrsn balatmadan nce, hacker veritabannn konfigrasyonunu, tablolar ve aa sahip deikenleri belirler. SQL servern an belirlemenin admlar : 1. Web taraycnz kullanarak bir login sayfas veya veritabanna giri yaplabilen bir alan veya sorgu alanlar (ifremi Unuttum gibi) kullanldn aratrn. Sitenin kaynak kodunu kontrol ederek POST veya GET HTML kodu kullanan web sayfalarna bakn. 2. Tek trnak iareti ( ) kullanarak SQL server test edin. Bunu yapmak ya kullanc giri deikeninin salkl olduunu yada server tarafndan tam olarak yorumlandn gsterir. Eer server a=a (yada buna benzer baka bir ey) syleyen bir hata mesaj ile cevap verirse byk ihtimalle server SQL injection saldrsna msaittir. 3. SELECT komutu ile veritabanndan veri ekin veya INSERT komutu ile veritabanna veri girii yapn. SQL Server Aklarn Anlamak : Aada SQL aklarn test etmek iin bir web form zerinde kullanabileceiniz deiken alan girdileri rnekleri yazldr :

Si

na

n
95

st

CEH Chapter 9

Blah or 1=1-Login:blah or 1=1-Password::blah or 1=1-http://search/index.asp?id=blah or 1=1--

Bu komutlar ve benzer varyasyonlar veritabannn yapsna bal olarak login ilemini bypass etmenizi izin verebilir. Bir form alanna komutlar girdiinizde bir tablo iinden bir ok satr veya tm veritaban tablosu bile karnza gelebilir nk SQL server terimleri tam olarak yorumlar. Komutun sonuna ift tire iareti koymanz SQL e komutun geri kalannn yorum olarak alglama der. Aada SQL komutlarn, kontrol almak iin nasl kullanlacann rneklerini gsterir . Dizin listesini almak in form alanna yazlmas gereken :

Blah;exec master..xp_cmdshell dir c:\*.* /s >c:\directory.txt

Bir dosya yaratmak iin form alanna yazlmas gereken :

Blah;exec master..xp_cmdshell echo hacker-was-here > c:\hacker.txt

Bir IP adresine ping atmak iin form alanna yazlmas gereken :

Blah;exec master..xp_cmdshell ping 192.168.1.1-SQL Injection Saldrsna Kar nlemler :

Kaynak kodlarna gz atmak aadaki programlama kusurlar iin nemlidir : Tek trnak iaretleri Giri dorulamadaki eksiklik

Baz SQL injection saldrsna kar nlemler : Bilinen kt girii reddetme, karma Giri kstlamalarn kontrol etmek

Buffer Overflow
Bir CEH olarak farkl trdeki buffer overflowlar belirleyebilmeniz gerekir. Ayrca bir buffer overflow ann nasl tespit edileceini bilmeniz ve bir hackern kullanabilecei yn tabanl (stack-based) overflow saldrsnn admlarnda anlamanz gerekir.

Si

na

SQL injection saldrsna kar alnmas gereken ilk nlem kullanclarn veritabanna olan balantlarndaki ayrcalklarn en az seviyeye indirmek ve SA ve Administrator hesaplar iin gl ifreler kullanmaktr. Ayrca gereksiz ayrntlara sahip ve aklayc hata mesajlarn disable etmeniz gerekir. Bu sayede gereinden fazla bilgi hackern eline gememi olur.

96

st

CEH Chapter 9

Farkl Trdeki Buffer Overflowlar Ve Tespit Etme Yntemlerini Tanmak :

Stack Tabanl Buffer Overflowlar :

Bir hackern stack tabanl buffer overflow altrmas iin kulland admlar : 1. Stack iindeki bellek miktarn tketmek iin buffera deiken girmek 2. Bu deiken iin bellekte ayrlm olan bufferdan daha fazla veri girmek, bu ilem bellein overflow olmasn veya bir sonraki ilem iin bellekteki bolukta almasna neden olur. Sonrasnda baka bir deiken eklenir ve programa deikeni altrdktan sonra dnd yeri syleyen dn iaretisinin zerine yazar. 3. Bir program bu hatal kodu altrr ve dn iaretisini kullanarak altrlabilir olan koddaki bir sonraki satra dner. Eer hacker iaretinin zerine baaryla yazarsa program kendi kodlar yerine hackern kodlarn altrr. Bir ok hacker bu bilindik buffer overflowlarn detaylarna ihtiyac yoktur. nceden yazlm olan exploitler internet zerinden bulunabilir ve hacker gruplar arasnda dei toku yaplmaktadr.

Not : Exploit kodundaki dnen adres ile stne yazlan bellek kt EIP olarak bilinir.
Buffer Overflow Dntrme Teknikleri : Hackerlar, standart buffer overflowlardan kendi setikleri kodun dn iaretisine tekrar ynlendirme iini derecelendirebilirler. Bir hacker tam bellek adresini ve kodunu altraca dn iaretisini yapabilmek iin stack boyutunu bilmelidir. Hacker bir No Operation (NOP) talimatn kullanabilir. Bu sadece ynerge iaretisini tamak iin destektir ve herhangi bir kod altrmaz. NOP, hatal kod ncesinde altrlmas iin bir string ekler.

Si

na

97

st

Buffer Overflowlar, hackerlarn iletim sistemi veya uygulamalara kar kullandklar exploitlerdir;SQL injection saldrlar gibi kullanclarn giri yapt alanlar hedefdir. Bir buffer overflow exploiti, bellee ar yklenme ile veya hedef sistem zerinde shell komutu veya istee bal bir komut altrarak sistemin hata vermesine neden olur. Bir buffer overflow a bounds checking eksikliinden veya deiken alandaki (rnein web form zerinde) giri dorulamasndaki aksaklklarn giderilme eksikliinden dolay meydana gelir. Eer uygulama bir deikeni bellee gndermeden nce boyutunu veya formatn kontrol etmeden veya dorulamadan gnderirse overflow a meydana gelir. ki eit buffer overflow vardr: stack tabanl ve heap tabanl. Stack ve heap, alan program iindeki kullanc deikenleri iin depolama lokasyonlardr. Deikenler, programn ihtiyac olana kadar stack veya heap iinde tutulur. Stacklar bellek adres boluundaki statik alanlardr, buna karlk heap, program alrken oluan dinamik adres alanlardr. Bir heap tabanl buffer overflow, bellein alt blmnde meydana gelir ve dier dinamik deikenlerin zerine yazar. Sonu olarak bir program bir shell veya komut satr aabilir veya bir programn almasn durdurabilir. Programn buffer overflow aklarn tespit emek iin, kt yazlm program kaynak koduna bakmak gerekir, bir hacker form alan zerinden byk miktarda veriyi uygulamaya gnderir ve programn verdii sonuca bakar.

CEH Chapter 9

Eer bir Intrusion detection system (IDS) network zerinde var ise instruction iaretisine iletmek iin bir seri NOPu gnderen hacker engeller. IDSyi bypass etmek iin hacker rasgele baz NOPlar, x++, x-;?NOPNOP gibi bir para edeer kod ile deitirir. Bu deiime uram buffer overflow saldrs IDS tarafndan tespit edilmesi devre braklabilir. Programclar, built-in strcpy(), strcat() ve streadd() C/C++ fonksiyonlarn buffer overflow lar iin elverili olmasndan dolay kullanmamaldr. Alternatif olarak programlama dili olarak Java kullanlabilir. Java buffer overflow iin elverili deildir.

Si
98

na

st

CEH Chapter 10

Wireless Hacking
Wireless networkler hackerlar iin dier bir giri noktasdr. Wireless gvenlii ve wireless hacking ile ilgili bir ok ey yazld. Bunun nedeni wireless teknolojisinin daha yeni ve gvenlik aklarna sahip olmasdr. Wireless networklerin kulland Radio Frequency (RF)n broadcast yaps ve ev ve iyerlerinde hzl bir ekilde kabul grmesi bir ok gvenlik ann olmasna neden olmutur. Bir ok Wireless LAN (WLAN) IEEE 802.11 standartlarna ve 802.11a, 802.11b, 802.11g ve 802.11n gibi deiiklikler zerine yaplandrlmtr. 802.11 standart iinde tam gelimemi gvenlik zellikleri ve bir okda gvenlik a bulunur. 802.11i iyiletirmesi, 802.11 iindeki zayflklar iin en son gvenlik zmn ierir. Wi-Fi birlii orjinal 802.11 deki boluu doldurmak ve en sonuncu 802.11ide iyiletirmeler yapmak iin ek gvenlik sertifikalar olan Wi-Fi Protected Access (WPA) ve WPA2yi yaratmtr. Bu blmdeki gvenlik aklar ve gvenlik zmleri IEEE ve Wi-Fi birlii standartlar temel alnarak anlatlacaktr.

Wireless Clientlarn bir eriim noktas iin otantikasyonunun salanmasnda iki yntem vardr : open system (Ak Sistem) ve shared key (Paylaml anahtar) otantikasyonu. Open system herhangi bir gvenlik mekanizmasna sahip deildir fakat network ile balant iin basit bir istekde bulunur. Shared key otantikasyonu ise neworkte otantikasyonun salanabilmesi iin wireless clientn challenge text denilen bir paketi hash yapmas eklinde gerekleir. Daha detayl WEP ilerleyen blmlerde anlatlacaktr. Wired Equivelant Privacy (WEP), WLANlar iin ilk gvenlik seenei idi. WEP, WLAN zerinde verinin encrypt edilmesi ve opsiyonel olarak WLAN clientlar otantike etmek iin shared key otantikasyon ile eletirilir. WEP, layer 2 deki veri ykn encrypt etmek iin RC4 (Rivest Chiper4) 64 bit veya 128 bitlik simetrik anahtarlama kullanr. Bu WEP anahtar, 24 bitlik Intialization Vector (IV) ile 40 beya 104 bitlik kullancnn belirledii bir anahtar ile birletirilir, bu sayede WEP anahtar 64 veya 128 bitlik olur. RC4n IV ile kullanlmas WEP ifrelemesinde gerek bir zayfla neden olur. Bu ilem hackern WEP anahtarn krmasn salar. FMS saldrs olarak bilinen yntem, encryptlenmi olan bytelar kullanarak en fazla ihtimale sahip olan bytelar bulmaya alr. Bu saldr WEP an kullanmak iin, Airsnort, WEPCrack ve aircrack gibi rnler iinde bulunur. Bununla birlikte bir hacker WEP anahtarn krmak iin brute-force saldrsnda kullanabilir fakat en yaygn teknik FMS saldrsdr. WPA, veriyi encrypt etmek iin Temporal Key Integrity Protocol (TKIP-RC4 daha gvenli hale getirmek iin) ve otantikasyon iin ise WPA personal veya WPA enterprise yntemini kullanr. WPA personal, otantikasyon iin ASCII metin-ifre (passphrase) kullanrken WPA enterprise, kullanclarn kimliklerini dorulamak iin (Otantikasyon) RADIUS server kullanr. WPA enterprise, daha gvenli, gl bir gvenlik seeneidir fakat yaratmaya dayanr ve RADIUS servern kurulumu karmaktr. TKIP, WEPdeki gvenlik aklarn kapatmak, dolays ile saldrlar krmak iin data encryption anahtarn dnml olarak deitirir. WPA2 ise 802.11iye benzer ve veriyi ifrelemek iin Advanced Encryption Standart (AES) kullanr. AES krlamayan ifreleme algoritmas olarak dnlr. WPA2 ayrca mixed mode security olarak isimlendirilen gei dnemi boyunca TKIP kullanlmasnda salar. Gei modu, veriyi ifrelemek iin TKIP ve AESin birlikte kullanlmas demektir. AES daha hzl ilemciye ihtiya duyar, buda demektir ki PDAlar gibi dk seiviyedeki cihazlar sadece TKIPi destekler. WPA personal ve WPA2

Si

na

99

st

WEP, WPA Otantikasyon Mekanizmas ve Cracking Tekniklerine Bak :

CEH Chapter 10

personal, WLAN clientlarn dorulamas iin metin-ifre (passpharese) kullanr. WPA Enterprise ve WPA2 Enterprise ise WLAN kullanclarn 802.1x/Extensible Autentication Protocol (EAP) standartlarn kullanan bir RADIUS server vastas ile kimlik dorulamas yapar. 802.11i ve WPA2, WPA2 deki ayn ifreleme ve otantikasyon mekanizmasn kullanr. Bununla birlikte WPA2 n dorulama iin herhangi bir reticiye ihtiyac yoktur. n dorulama, hzl ve gvenli bir roaming (Dolam,gezici) salar, buda Wireless voice over IP gibi zaman olarak hassas mobil ortamlar iin gereklidir. Aadaki tablo WLANlar iin otantikasyon ve encryption (ifreleme) seeneklerinin zetini gsterir :
Encryption WEP Otantikasyon WEP Zayflk IVdeki zayflk WEP anahtarnn krlmasna neden olur. Ayn anahtar WLAN iindeki tm clientlarn otantikasyonu ve encryption iin kullanlr. Passphrase (Metin-ifre) dictionary (Szlk) saldrs iin elverilidir. Passphrase (Metin-ifre) dictionary (Szlk) saldrs iin elverilidir. Passphrase (Metin-ifre) dictionary (Szlk) saldrs iin elverilidir.

Orjinal IEEE 802.11 standard

WPA

TKIP

WPA2

IEEE 802.11i

AES (mixed modda iken TKIP kullanlabilir)

Hacking Aralar

WEPCrack ve Airsnort Linux tabanl WEP krma aralardr. NetStumbler ve Kismet WLAN keif aralardr. Her ikiside MAC adreslerini, Service Set Identifier (SSID) parametresini, gvenlik modunu ve WLAN kanaln bulur. Ek olarak Kismet SSIDsi gizlenmi olan networkleride bulabilir, paketleri toplayabilir ve IDS ilevselliini belirleyebilir.

Wireless Snifferlar ve SSIDleri Belirleme, MAC Spoofing (Aldatma) : En yaygn WLAN saldrs gizlice dinlemek veya sniffingdir. Bu en kolay gerekletirilebilecek saldrdr ve genellikle hotspotlarda (Halka ak yerler) veya default yklemeye sahip Access Point olan yerlerde gerekleir, bunun nedenide genelde bu tr yerlerde paketlerin WLAN iinde ifrelenmeden gnderilmesidir. FTP, POP3 veya SMTP gibi network eriim protokolleri iin kullanlan ifreler dz metin olarak yani ifrelenmeden, WLAN da bulunan bir hacker tarafndan yakalanabilirler.

Si

Aircrack, WEP krma aracdr. Paketleri yakalamaz;baka bir programn yakalad encryptllenmi veri paketlerinden krma ilemini gerekletirmek iin kullanlr. Aircrack Windows ve Linux iletim sistemlerinin her ikisinde de alr.

na

100

AES (mixed modda iken TKIP kullanlabilir)

Passphrase veya RADIUS (802.1x/EAP) Passphrase veya RADIUS (802.1x/EAP)

st

Passphrase veya RADIUS (802.1x/EAP)

CEH Chapter 10

SSID, WLANn ismidir ve yayn iinde bulanabilir. Eer iki wireless network fiziksel olarak yakn ise SSIDler her bir network ayrt etmek ve tanmlamak iin kullanlr. SSID, genellikle bir iaret paketi iinde dz metin olarak gnderilir. Bir ok Access Point (AP) adminlere SSIDleri gizleme seenei sunar. Bununla birlikte bu ilem gl bir gvenlik mekanizmas deildir nk baz aralar, data paketleri veya aratrma paketleri gibi dier paketlerden SSID parametresini okuyabilir. WLAN teknolojisinde bir nceki gvenlik zm MAC adres filtrelemesini kullanmakt. Admin, Access Point ile ilikili sistemlere izin vermek iin geerli olan MAC adreslerini listeye girerdi. MAC filtreleme konfigrasyon olarak klfetlidir ve byk networklerde ok da verimli deildir nk her Access Point iinde konfigre edilmelidir. MAC spoofing (Aldatma) uygulanmas kolay ve MAC adres filtreleme ilemini uygulamak iin gereken gayreti boa karr. Bir hacker geerli olan bir MAC adresini belirleyebilir nk MAC headerlar kesinlikle ifrelenmez.
Hacking Aralar

Bir ok wireless hacking saldrs aadaki kategorilere ayrlabilir:

Encryption ve Otantikasyon mekanizmalarnn krlmas : Bu mekanizmalar

iinde WEP, WPA Pre-shared key (n paylaml Anahtar Dorulama) otantikasyon metin-ifresi ve Ciscos Lightweight EAP Authentication (LEAP) krma ilemleri bulunur. Hackerlar, bunlar, alnan kimlik bilgilerini kullanarak veya dier kullanclarn datalar yakalanp decrypt/encrypt yaplarak WLANa balant kurmakta kullanr.

Gizlice dinlemek veya sniffing : Bu ilem, ifrelenmemi bir WLAN veya hotspot zerinden gizli bilgilerin veya ifrelerin yakalanmasn ierir. Denial of Service : DoS fiziksel katmanda, bir RF transmitter ile APden daha yksek bir RF sinyali yaratarak gerekletirilir, bu ilemde kullanclarn onaylanm yani uygun olan AP yerine sahte APye balant kurmalarna neden olur. DoS Logical Link Control (LLC) katmannda otantike edilmemi frameler (deauth saldrlar) veya srekli olarak sahte frameler yaratarakda yaplabilir (Queensland Saldrs).
101

Si

Wireless Hacking Teknikleri :

na

Sahte Access Pointler (Rogue Access Points), hedef network ile balant kurmak iin yetkilendirlmemi eriim noktalardr. Sahte APler network iinde bir kablosuz delik aarlar. Bir hacker sahte bir APyi yerletirir veya bir alan mobil olmasndan dolay yanllkla networke bir AP takarak gvenlik delii oluturabilir. Tm sahte APler hackerlarda dahil kendisine balanan kullanclar tarafndan kullanlabilir ve kablolu networke eriim salayabilirler. Bu ilem irketler iin networke takl olan sahte APlerin olmadndan emin olmak iin kablosuz taramann yaplmas asndan bir wireless politikalarnn olmaynn kritik neme sahip olduunu gsterir.

st

Sahte Access Pointler :

SMAC, geerli bir kullancnn adresini kullanabilmesini salayp bu sayede networke eriim salayan MAC spoofing aracdr.

CEH Chapter 10

AP maskeleme veya spoofing : Sahte APler ayn SSID konfigrasyonlarn veya

network ismini kullanarak gerek, yasal eriim noktalarym gibi davranr.

MAC spoofing : Hacker yasal, gerek bir WLAN kullancs gibi davranr ve baka bir
kullancnn MAC adresini kullanarak MAC adres filtrelemesini atlatr. Wireless networkler eer eriim noktalar dzgn bir ekilde gvenlii salanmam ise hackera networke girmek iin kolay bir yol salar. Bir WLAN hacklemek veya gvenlik aklarndan faydalanmak iin bir ok yol vardr. Wireless Networkleri Gvenli Yapmak in Yntemler : Wireless Network kullanm kablolu networklere gre daha yeni bir teknolojidir ve daha az gvenlik seeneklerine sahiptir. Gvenlik yntemleri OSI modelindeki uygulanabilen katmanlara gre kategorilere ayrlr. Layer 2 veya MAC layer gvenlik seenekleri : WPA WPA2 802.11i

Si
102

na

Not : Bir ok saydaki zayflklarndan dolay WEP, WLAN iin tek bana gvenlik mekanizmas olarak kullanlmamaldr.

Layer 7 veya Application Katman : Secure Shell (SSH), HTTPS ve FTP/SSL gibi gvenli uygulamalar

st

Layer 3 veya Network katman gvenlik seenekleri : IPSec veya SSL VPN

CEH Chapter 11

Physical Security
Fiziksel gvenlik, IT gvenliinde hassas ve nemli verilerin alnmas veya kaybolmas konusunda tartmasz en nemli alandr. Eer bir irket yeterli fiziksel gvenlik salamakta baarsz olursa, firewalllar veya IDS gibi teknik gvenlik nlemleri alabilir. Bir kez ieri girebildinmi, Network senindir deyii vardr. irketinizin ve networknzn fiziksel olarak gvenliini salamak suretiyle, laptoplar veya tape srcleri gibi aygtlarn alnmasn, sistemelere donanmsal keyloggerlarn yerletirilmesini ve networke sahte access pointlerin koyulmasn engelleyebilirsiniz. Fiziksel gvenlik daha ok kiisel olarak zorlamaya baldr ve buyzden socialengineering saldrlarna msaittir (Bir alann uygun anahtar veya kimlik bilgilerinin alnmas amal olarak takip edilmesi gibi) Fiziksel Gvenlii hlal Etmenin Sonular : Her gn, bir devlet kurumu veya byk bir irketin kullanc bilgisi veya alanlar ile ilgili nemli bilginin tehlikeye girdii konusunda haber makaleleri aklamalar yapyor. rnein, eve giren bir hrsz tarafndan alnan veya seyahata kan bir alann otel odasndan alnan laptop gibi. Bu tr nemli bilgiler bir hackern elinde tehlikeli olabilir. Cihazlarn alnmas en yaygn fiziksel saldrlardan biridir. Birok insan bilgisayarnn alnacan dnmez ve sistemleri kilit altnda tutmak konusunda tecrbesizdir, bunun yerine standart network gvenlik mekanizmalarna gvenir. Bir ok ierden yaplan saldrlar fiziksel gvenlikteki ihmalin sonucudur. Bir kez hacker servera, tek bir bilgisayara veya bir network portuna fiziksel eriimi elde ettiinde sonu ykc olur. Ayrca baz ihmallerin belirlenmesi, izlenmesi ve tespiti zordur. Yetersiz fiziksel gvenlik nedeniyle yaplan en yaygn gvenlik ihlalleri :

Fiziksel Gvenlii Anlamak : Genel olarak gvenlik konular aadaki yol ile kategorilere ayrlr :

Fiziksel : Fiziksel nlemler sistemlere girii engeller ve bu nlemler iinde gvenlik

korumalar, klandrma, itler, kilitler ve alarmlar bulunur. Eriim noktalarndaki

Si

na

Keyloggerlar, virsler, Trojanlar, backdoorlar veya rootkitler gibi kt yazlmlarn yklenmesi ifreler, sertifikalar gibi dorulama bilgilerinin veya otantikasyon kimlik bilgilerinin yakalanmas veya tespit edilmesi ifreler ve kredi kart numaralar gibi deerli verinin kablolu networke balant salanarak takip edilmesi Lokal sistem zerindeki ifrelerin krlmasnda kullanmak iin sistemlere eriim salayp veri toplamak Kablolu networke eriim salayabilmek iin ak bir wireless network yaratmak amal sahte Access Point yerletirme Katlarn veya elektronik dkmanlarn alnmas nemli fax dkmanlarnn alnmas p kutularn kartrma saldrs (nemli dkmanlar tekrar birletirilip okunamyacak ekilde paralanmasn srarla belirttik)

103

st

CEH Chapter 11

imkanlar snrlandrlmal ve CCTV (Closed circuit television) kameralar ve alarmlar ile korunmal/takip edilmelidir. Binaya giri yetkili kiilere snrlandrlmaldr. Tanabilir diskler, backup tapeler ve diskler gibi tanabilir medya ve laptop sistemlerine eriim snrlandrlmal ve bunlar korunmaldr. Bilgisayar ekranlar arkadan geenler tarafndan grlemiyecek ekilde konumlandrlmal ve kullanclarn herhangi bir nedenden dolay bilgisayarlarnn bandan ayrldklar zaman kendi sistemlerini kilitlemeleri iin zorlanmal ve bu konuda bir politika uygulanmaldr. Yksek hassasiyete sahip bilgiyi tutan bilgisayar sistemleri kapal bir yerde korunmal ve kimlik eriimli bir oda gibi kilitli bir yerde tutulmaldr.

Teknik : Firewalllar, IDS, spyware ierik filtrelemesi, virs ve Trojan taramas gibi
teknik gvenlik nlemleri tm uzaktaki client sistemlerde, networklerde ve serverlarda uygulanmaldr.

Operasyonel : Tehlikeleri analiz etmek ve risk deerlendirmesi yapmak iin

Teknik ve Operasyonel gvenlik nlemleri sonraki chapter iinde anlatlacaktr.

Fiziksel Gvenlikten Kim Sorumlu ? : Aadaki insanlar bir irket iinde fiziksel gvenlikten sorumludur : irketin fiziksel gvenlik yetkilisi IT sistem uzmanlar ef IT yetkilisi alanlar

irket iindeki herkes fiziksel gvenlik ilkelerini uygulamak zorundadr. Fiziksel gvenlik standartlarn belirlemek ve fiziksel gvenlik nlemlerini uygulamak fiziksel gvenlik yetkilisinin iidir.

Si

Bir bilgisayar sistemine yetkisiz giri Sistemlerden verinin alnmas Sistem zerindeki verinin bozulmas Doal nedenlerin sistemleri bozmas veya verinin kaybolmas

na

Fiziksel gvenlik nlemlerindeki ihtiyacnz dier gvenlik eitleri ile (Teknik veya operasyonel gibi) ayn nedene sahiptir ; hackerlar networknze ve size ait bilgiye eriimlerini engellemek. Hacker, kolay bir ekilde gvenlik nlemlerinizdeki zayflklardan yararlanp eriim elde edebilir. Ayrca verileriniz doal nedenlerden dolay hasar grebilir veya kaybolabilirde;bu yzden risk ynetiminden sorumlu olan elemanlar uygun gvenliin planlamasn yaparken doal afetleride forml iine eklemeleri gerekir. Fizilksel gvenlik nlemleri aadakileri engellemek iin dizayn edilir :

104

st

Fiziksel Gvenlik in htiyacmz Nedir ? :

operasyonel gvenlik nlemleri irketin gvenlik politikas iinde dkmantasyonunun yaplmas gerekir.

CEH Chapter 11

Fiziksel Gvenlii Etkileyen Faktrler : Fiziksel gvenlik, harici fiziksel gvenlik kontrol faktrlerinden etkilenir. irketin fiziksel gvenliini etkileyen faktrler : Vandalizm (Ykclk-barbarlk) Hrszlk Doal nedenler o Deprem o Yangn o Sel gibi

Gvenlik uzmanlar bu risk faktrlerinden uzak durmaldr ve bunlara kar plan yapmaldr. Bir ok irket bu tr ihtimallere kar bir i devamllk plan (BCP-Business continuity plan) veya felaketten kurtarma plan (DRP-Disaster recovery plan) yaratr.

Si
105

na

st

CEH Chapter 12

Linux Hacking
Linux, ak kaynak kodlu olmas ve herkesin modifiye etmesine izin vermesinden dolay esnek bir yapya sahip olduundan, sistem adminleri tarafndan popler olan bir iletim sistemidir. Ak kaynak olmas Linuxun tabiatnda vardr ve bir ok versiyona sahiptir, bu versiyonlarada distributions (veya distros-datmlar) ismi verilir. Bir ok Linux datm workstationlarda veya serverlarda kullanmak iin gl ticari iletim sistemleridir. Redhat, Debian, Mandrake ve SUSE popler ticari datmlardr; Gentoo ve Knoppix ise en yaygn olan cretsiz datmlardr. Linuxun esneklik ve fiyat avantaj ile birlikte Linux uygulamalarnn art bir ok iletim sistemi arasnda en fazla tercih edilen iletim sistemi olmasn salamtr. Bununla birlikte Microsofta gre kendi yapsnda olan daha sk bir gvenlie sahiptir ve ayrca faydalanlacak aklklarada sahiptir. Bu chapter bir iletim sistemi olarak Linux kullanmnn temelleri ve saldrlara kar nasl daha gl hale getirilecei anlatlacaktr. Linux Temelleri :

Linux, kabaca UNIX temellidir ve UNIX ortam ile aina olan herkes Linux sisteminide kullanabilir. Tm standart komutlar ve aralar tm datmlarda bulunur. Bir Linux sistem ierisinde bir ok text editor mevcuttur ki bunlar iinde vi, ex, pico, jove ve GNU emacs bulunur. Bir ok UNIX kullancs basit bir editor olan viyi tercih eder fakat vi eski olmasndan dolay bir ok kstlamalara sahiptir ve emacs gibi bir ok modern editorler son yllarda daha fazla kullanlmaya balanmtr. Bir ok temel Linux aralar, GNU yazlmdr yani cretsiz olarak datm yaplr. GNU aralar ayrca standart BSD ve UNIX sistem versiyonlarnda bulunmayan gelimi zellikleride destekler. Bununla birlikte GNU aralar BSD ile uyumlu olacak ekilde tasarlanmtr. Shell, kullanclarn komut girmesini salayan ve sistemin kullancnn yazd komutlar altran komut satr programdr. Ayrca bir ok shell i kontrol, bir seferde bir ok ilemi ynetme, giri ve k ynlendirmesinin yaplmas ve shell scriptleri yazabilmek iin komut dili kullanlmasn salamak gibi zellikler salar. Shell scripti, shell komut dilinde yazlan bir programdr ve MS-DOS batch dosyasna benzer. Linux iin bir ok eitte shell vardr. Bu shelller arasndaki nemli fark, komut dilidir. rnein, C Shell (csh), C dili ile benzer komutlar kullanr. Klasik Bourne SHell (sh) ise baka bir komut dili kullanr. Shell seimi daha ok salad komut diline ve kullancya salad olanaklara baldr. GNU Bourne Again Shell (bash), iinde i kontrol, komut gemii, komut ve dosya ismi tamamlama ve dosya editleme arayz gibi bir ok gelimi zellik bulunduran bir Bourne Shell varyasyonudur. Dier bir popler shell ise tcshdir. Bu shell, bash iinde bulunan gelimi zelliklerin aynsn ieren C Shell versiyonudur. Dier shelller olarak zsh, kk bir Bourne shell benzeri, Korn Shell (ksh), BSDnin ashsi ve rc, Plan 9 shelli sayabiliriz.

Si

na

106

st

CEH Chapter 12

Linux Kerneli Derlemek : Linuxun ak kaynak niteliinden dolay kaynak kodu cretsiz olarak datlr. Kaynak kodu bir iletim sistemi olarak doru bir ekilde almas iin derlenmesi gereken binary formatnda dosyalardr. Binary dosyalar herkes tarafndan eriilebilirdir ve download edilebilir ve ilevsellikleri iin deiiklikler yaplabilir veya yenileri eklenebilir. Kullancnn Linux kernelini tekrar derlemeyi istemesinin nedeni vardr. Birinci olarak, elinizde baz yeni donanmlar vardr ve sizdeki datm CDsi iinde herhangi bir kernel modl bu donanm iin yoktur. kinci olarak, elinizdeki gzden geirilmi versiyon olan iletim sisteminde sabit olan baz bug eitleri ile karlam olabilirsiniz. Son olarak, elinizdeki yeni yazlm, iletim sisteminizin yeni versiyonunu istemektedir. Bu, esneklik iin mkemmeldir fakat kullanclar kaynak kodlarnn indirilmesini salayan sitelerden uzak durmaldr nk bu kodlar hatal veya kt amal kodlar olabilir, kodlara Trojanlar veya dier backdoorlar eklenmi olabilir. Gvenlik nedeni ile sadece gvenilen ve bilinen sitelerden Linux indirilmeli veya ticari datmlar satn alnmaldr.

Not : Linux kernel indirmek iin tavsiye edilen site ftp.kernel.org dur.

Linux kerneli indirmek, konfigre etmek ve derlemek iin izlenecek admlar : 1. letim sistemi iin en son versiyon dosyay belirleyin ve linux sistem iinde /usr/src dizinine indirin. Sonra, tar zxf komutu ile paketi an. 2. Bir sonraki adm Linux kerneli konfigre etmek. Dizini /usr/scr/Linux olarak deitirin ve make menuconfig komutunu yazn. Bu komut bir ka program oluturacak ve hzl bir ekilde bir pop up penceresi alacaktr. Penceredeki men, size kernel konfigrasyonunu bir ok ynden deitirebilmenizi salyacaktr. Gerekli deiiklikleri yaptkdan sonra konfigrasyonu kaydedin ve make dep; make clean yazn. Bu komutlarn ilki, kernel kaynaklarnda birbirine bal aa (tree) oluturur. Bu bal olma durumu konfigrasyon admndaki yaptnz seeneklere baldr. Make clean ise nceki oluturulan kernelden kalan istenmeyen dosyalar temizler. 3. Bir sonraki komutlar make zImage ve make modules komutlardr. Bu aama biraz uzun srebilir nk bu komutlar kernelin derlemesini yapar. 4. Son adm kernelin yklenmesidir. Intel tabanl sistemde kernel aadaki komut ile /boot dizinine yklenir :

cp /usr/Linux/src/arch/i386/boot/zImage /boot/newkernel
5. Sonra make modules_install komutu kullanlr. Bu komut modlleri /lib/modules iine ykler. 6. Sonraki aamada aadaki gibi bir blm eklemek iin edit /etc/lilo.conf komutu kullanlr. image = /boot/newkernel label = new read-only

Si

na

107

st

CEH Chapter 12

7. Bir sonraki boot ileminde lilo iinden yeni kerneli sein, bu ilem yeni kerneli ykleyecektir. Eer alrsa lilo.conf iinde yeni kerneli ilk sraya alnki bu sayede her alta default olarak yeni kernel yklensin.

Not : Eer Linuxda yeniyseniz Linux Live CD sizin iin en iyi seenektir. Bu CDyi kullanarak Linuxu yklemeden test edip deneyebilirsiniz. Live CDyi kullanmak iin www.distrowatch.com sitesini ziyaret edin ve datmlardan birini sein. Sonrasnda ISO dosyasn indirin ve CDye yazn. Bu CD herhangi bir sistemde kullanlabilir ve Linux versiyonunun tm ilevleri ile boot edilir.
GCC Derleme Komutlar : GNU Compiler Collection (GCC), bir komut satr derleyicisidir. Kaynak kodlarn alr ve bunlar altrlabilir hale getirir. GCCyi http://gcc.gnu.org adresinden indirebilirsiniz (Bir ok Linux datm bir GCC versiyonunu bulundurur). GCC, C, C++ ve Fortran uygulamalarn Linux sistem zerinde alabilmesi iin derlemek ve altrmak iin kullanlabilir. Aadaki komut bir GCC ile C++ kodunu derler :

g++ dosyaismi.cpp o ktdosyaismi.out

gcc dosyaismi.c o ktdosyaismi.out

Linux Kernel Modlleri Nasl Yklenir : Linux Kernel Modlleri (LKMs) iletim sistemini tekrar derlemeden iletim sistemine ilevsellikler eklemenizi salar. LKMlerin kullanlmasnn tehlikesi bir rootkitin bir LKM eklinde kolayca yaratlmasdr ve eer yklenirse kernele bular. Bu nedenden dolay LKMleri sadece dorulanm olan kaynaklardan indirmelisiniz. LKM rootkitlere rnek olarak Knark, Adore ve Rtkit verilebilir. Bu rootkitler kernele bular ve bu rootkitleri tespit etmek kendilerini LKM gibi gstermeyenlere gre ok daha zordur. Bir kez sistem risk altna girdiinde, hacker LKMyi /tmp veya /var/tmp dizini iine yerletirir, bu sayede sistem admini tarafndan takip edilemez dolays ilede dosyalar, ilemler ve network balantlar gizlenir. Ayrca sistem arlar, LKM rootkit bulam olan sistem zerinde, hackern istedikleri ile deitirilebilir. Bir LKMyi yklemek iin komut : modprobe LKM Linuxu Glendirmenin Yollar : Glendirme (hardening), sistem zerinde deiiklikler yaparak sistemin gvenliini artrma ilemidir. Linux, baz glendirme yntemleri kullanlarak daha gvenli hale getirilebilir.

Si

na

108

Bir uygulama iin GCC ile C kodu derleme komutu :

st

CEH Chapter 12

Linux veya Windows serverlardan herhangi birinin gvenliindeki ilk adm, hackern fiziksel olarak eriim salyamayaca bir network operasyon merkezi gibi bir gvenli lokasyonda bulunmasn salamaktr. kinci ve en ak gvenlik nlemi gl passwordlerin kullanlmas ve kullanc adlarnn ve ifrelerin dardan kimseye verilmemesidir. Adminler /etc/shadow dosyas iinde tutulan tm kullanclarn ifrelerini kontrol ederek bo ifrelerin olmadna emin olmas gerekir. Deny all komutunun default gvenlik durumu sistemin network saldrlarna kar glendirmek iin iyi bir seenektir. Deny all uygulandktan sonra, admin belirli bir kullanc iin belirlenmi eriimi aabilir. Deny all komutunu kullanmakla ilk olarak, admin eriim izni olmayan kullancnn dosyaya eriemiyeceinden emin olur. Tm kullanclarn network zerinden eriimini enegellemek iin kullanlacak komut : Cat All:All>> /etc/hosts.deny Linux servern daha gl hale getirilmesindeki dier bir yolda kullanlmayan servislerin kaldrlmas ve en son bug dzeltmeleri ile patchlenmi (yamalarn uygulanmas) olmasdr. Ayrca adminler sk bir ekilde sistem loglarn bir saldry iaret eden olaan d eylere kar kontrol etmelidir. Aadakiler bir Linux servern gvenliini artrmak iin uygulanmas gereken dier admlardr : Herkes tarafndan onaylanm ve bilinen iyi Linux datmlarnn kullanlmas Gerekli olmayan servislerin ve uygulamalarn yklenmemesi Default ifrelerin deitirilmesi Uzaktan root login iptali IP tablolarnn oluturulmas ve aktif edilmesi Host tabanl intrusion detection system (IDS) yklenmesi Log dosyalarnn kullanlmas

Si
109

na

st

CEH Chapter 13

IDSleri, Honeypotlar ve Firewalllar Atlatmak

Intrusion Detection Systemler (IDS), firewalllar ve honeypotlarn hepsi, bir hackern hedef sisteme veya networke girmelerini engelliyecek olan gvenlik nlemleridir. IDS ve firewall, temel olarak paket filtreleme aralardr ve network trafiini nceden belirlenen kurallara gre takip ederler. Honeypot ise hackerlar gvenlik a olan sistemlerden uzak tutmay salayan sahte (fake) hedef sistemdir. Dier gvenlik mekanizmalarndaki gibi IDSler, firewalllar ve honeypotlar dizayn edilmelerine ve uygulamalarna gre etkisini gsterir. Bu aralarn nasl ilediklerini bilmek ve yaygn saldr elerine kar saladklar gvenlikleri bilmek nemlidir. IDSlerin eitleri ve Bunlardan Kurtulma Teknikleri :

Intrusion Detection Sistemler (IDSs), trafii denetleyen ve bilinen saldrlarn izlerine veya olaan d davran kalplarna bakan sistemlerdir. Packet sniffer, trafie
bakar ve takip eder ve IDS iinde yerleik bir bileendir. IDS, irket gvenliinde belirlenmi olan bir eylem tetiklendiinde bir komuta merkezini veya sistem adminini pager, mail veya cep telefonu vastas ile uyarabilir. Intrusion Prevention Systemler (IPSs), pheli bir trafik akn baladnda trafii bloklamak gibi kar nlemler balatr. IPS sistemleri otomatik olarak bir saldr giriimine cevap verir ve size eriimi engelleyebilme olana sunar. ki ana IDS eidi vardr :

Host Tabanl : Host tabanl IDSler (HIDSs) tek bir sistem veya host zerinde bulunan

Network Tabanl : Network tabanl IDSler (NIDs) networkde bulunan yazlm temelli
aralardr. Bunlar sadece tm istenmeyen network trafik eitlerini tespit etmek iin saldr tespit amal olarak kullanlr. Bu saldrlar iinde, gvenlik ana sahip servislere kar yaplan network saldrlar, uygulamalarda bulunan dataya yaplan saldrlar, ayrcalk ykseltme, yetkisiz loginler ve hassas verilere eriim gibi host tabanl saldrlar ve malware bulunur. NIDler pasif sistemlerdir. IDS, potansiyel bir gvenlik ihlalini tespit eder, bilgiyi loglar ve konsol zerinden bir uyar karr.
Hacking Aralar Snort, Windows ve Linux sistemlerde alan gerek zamanl bir paket sniffer, HIDS ve trafik loglama aracdr. Snort ve IDS kurallarn snort.conf dosyas iinden konfigre edebilirsiniz. Snortu ykleme ve altrma komutu : Snort l c: \snort \log c C:\snort\etc\snoft.conf A console

IDS, imza analizi yapabilir veya eer trafik muhtemel bir saldr ise anormal durumlarn tespitinide yapabilir. mza tespiti IDSlerin trafii bilinen imzalar ve hatal ablonlar ile eletirmesidir. Bir imza, bir paket veya paketler serisini tanmlamakta kullanlan ablondur. IDS, bir kiinin normal i modelleri temelindeki saldr giriimlerine

na

ve trafii veya belirli iletim sistemi iin bilinen iaret listesi iindeki olaylara gre filtreleyen uygulamalardr. HIDSlere rnek olarak Norton Internet Security ve Cisco Security Agent (CSA) rnek olarak verilebilir. Uyar : Bir ok wormlar ve Trojanlar bir HIDSyi devre d brakabilir.

110

st

CEH Chapter 13

bakmak iin anormal durum tespitini kullanr ve sistemlere, dosyalara eriimlere, loginlere ve bunun gibi anormal davranlar meydana geldiinde uyar verir. Bir hacker IDSden trafii deitirip bu sayede bilinen imzalara uymamasn salayarak kurtulabilir. Bu ilem, saldry yapmak iin TCP yerine UDP veya ICMP yerine HTTP gibi farkl protokoller kullanarak yaplr. Ek olarak, hacker paketleri IDSden geirmek iin saldry bir ok kk paketlere blebilir, paketleri alan sistem paketleri tekrar birletirdiinde sistem tehlikeye girmi olacaktr. Bu ilem session splicing olarak bilinir. Dier tespit edilmeyi atlatma yntemleri, fazladan veri koyma, encryption veya desenkronizasyon kullanarak veriyi veya adresleri gizlemek ve mevcut oturumu ele geirmekdir.
Hacking Aralar ADMutate, saldr scriptini alr ve saldry yapmak iin farkl bir script yaratr (fakat ilevsellik olarak ayndr). Yeni script, bilinen saldr imazalarnn olduu veritabannda yoktur ve bu yzden IDS tarafndan bypass edilir.

Firewall eitleri ve Honeypotdan Kurtulma Teknikleri :

Firewall, networke eriimi engelleyen veya izin veren ve admin tarafndan belirlenen kurallar ile paketlerin networkte nereye gideceini belirleyen bir yazlm veya donanmsal aygttr. Perimeter hardware firewall cihaz, gvenilen networkn, internet gibi gvenilmeyen network ile bal olduu networkn u kenarnda veya networkler arasnda kurulur. Software firewall, kiisel bilgisayar, bir sistemi veya bir hostu network kartndan giren istenmeyen paketlere veya kt ierikli paketlere kar koruma salar. Honeypot, Demilitarized Zone (DMZ) networknz iinde bulunan tuzak bir kutudur ve gvenlik uzmanlar tarafndan tuzak olarak veya hackerlarn yerlerini belirlemeye yardmc olmas iin yada onlar gerek sistemden uzak tutmak amal olarak kurulurlar. Honeypot, kt niyetli saldrgann saldr yapmay deneyecei bir tuzak sistemdir;sistem zerindeki yazlm saldrgann IP adresi gibi bilgilerin logunu tutar. Bu bilgiler saldrgann saldr sonrasnda veya saldr srasnda yerinin tespit edilmesi iin kullanlr. Honeypot iin en iyi yer DMZde firewall nne yerletirilmesidir, bu yer hackerlar iin ekici bir yerdir. Statik adrese sahip bir honeypot gerek bir rn server gibidir. Bir firewall gemenin en kolay yolu firewalln i ksmndaki veya gvenilen tarafndaki bir sistemi tehlikeye drmektir. Tehlikedeki sistem firewall zerinden gvenilen taraftan gvenilmeyen network tarafna doru yani hackern sistemine doru iletiime geer. Bunu yapmann en yaygn yntemi tehlikedeki sistemin hacker ile balantsn hedefin 80inci portu zerinden yapmasdr. Bu clientn web iin firewall zerinden bir web servera istekde bulunmas olarak gzkr. Bu ileme reverse WWW shell denir. Not : Bu saldr etkilidir nk bir ok firewall default olarak 80 numaral port zerinden giden balantlara izin verir.
HTTP trafiini gndermek iin tnel kullanmak, hackern firewall atlatmasn salar ve saldry firewall iin zararsz gibi gsterir. Bu tr saldrlar sistem adminleri tarafndan nerdeyse takip edilemez saldrlardr. Hacking programlar gizli kanallar

na

111

st

CEH Chapter 13

yaratabilir. Bu kanallar ICMP ping request veya reply gibi izin verilen bir yol zerinden saldr trafiinin yol almasn salar. Dier bir gizli kanal tnellerini kullanmann yntemi, saldr trafiini bir TCP acknowledgment gibi gerekletirmektir. Bir honeypot tarafndan kurulmu olan tuzaktan kurtulmak iin hacker, honeypotun hedef sistem zerinde altn belirleyen ve bununla ilgili uyar veren bir anti-honeypot yazlm kullanabilir. Bu yolla hacker bir honeypota saldrarak kendini aa karmaktan kurtulur. Bir ok anti-honeypot yazlm sistem zerinde alan honeyd gibi bilinen honeypotlara kar kontrol yapar.
Hacking Aralar 007 Shell, shell tnelleme programdr. Bu program hackern saldr iin gizli bir kanal kullanmasn ve bu sayede firewall gemesini salar. ICMP Shell, Telnete banzeyen ve hackern hedef sistem ile ICMP komutlar ile firewall zerinden balant kurmasn salayan bir programdr.

Covert_TCP, hackern firewall zerinden IP paketinin balna gizliyerek her seferinde bir byte dosya gndermesini salayan bir programdr. Send-Safe Honeypot Hunter, honeypotlar proxy serverlara kar kontrol eden bir honeypot tespit aracdr.

nlemler

Honeyd, network zerinde sanal bir host yaratan ve sonrasnda hackerlarn hedefi haline gelen bir ak kaynak honeypotdur. KFSensor, honeypot gibi davranan host tabanl bir IDSdir ve sanal servisleri ve Trojan yklemelerini simle edebilir. Sobek, saldrgann klavye vurularn yaklayan data yakalama honeypot aracdr. Nessus Vulnerability Scanner (http://www.nessus.org/) honeypotlar tespit etmek iin kullanlabilir.

na

Specter, hackern sisteme saldr yapt srada hacker ile ilgili bilgiyi otomatik olarak yakalayan bir honeypot sistemidir.

112

st

AckCmd, sadece TCP ACK paketlerini firewall zerinden kullanarak iletiim kuran client/server programdr.

CEH Chapter 14

Kriptografi
Kriptografi, ifreleme ve ifreleme algoritmalarnn incelenmesidir. Pratik anlamda ifreleme, mesajlar anlalr biimden (dz metin halinden) anlalmaz hale sokmak (ifrelenmi metin) ve tekrar eski haline getirmektir. ifrelemenin amac, mesajn ifresinin nasl zleceini bilmeyen engelleyiciler veya kulak misafiri olanlar tarafndan okunamaz hale getirmektir. ifreleme almalar iletiimde gvenliin salandndan emin olmak iin yaplr. Kriptografi, ifrelemede kullanlan teknikleri belirtir. Bu chapter ifreleme algoritmalarn ve kriptografi zerinde duracaktr. Kriptografi ve ifreleme Teknikleri : ifreleme verinin aktarm srasnda veya hard disk iinde tutulurken kullanlabilir. Kriptografi, verinin matematiksel olarak kartrlarak bilginin korunmas ile ilgilenir ve bylecede ifrelemede kullanlan matematik formln bilmeden okunabilir hale getirilemez. Bu matematiksel formule ifreleme algoritmas denir. ifreleme algoritmalar substitution (karakterlerin yerlerini baka karakterler ile deitirmek) ve transposition (karakterlerin srasn deitirmek) gibi karakterlerin kartrlma yntemlerini kullanr. ifreleme algoritmalar substitution ve transpositiona dayal matematiksel hesaplamalardr. Symetric key encryption (Simetrik anahtar ifrelemesi) gnderen ve alan tarafn verinin ifrelenmesi ve ifrenin zlmesi iin ayn gizli anahtar kullanmas demektir. Simetrik anahtar ifrelemedeki sorun, birden fazla sistemler arasnda anahtar paylamak iin gvenl bir yolun olmamasdr. Simetrik anahtar ifrelemesi kullanan sistemler, anahtar bir sistemden dierine gndermek iin offline bir yntem kullanmalar gerekir. Client ve servern dnyann farkl yerlerinde olan, internet gibi ok byk ortamlarda okda pratik deildir. Asymetric (veya public) key encryption, simetrik anahtarn datm ve ynetimindeki zayflklarn ele alnmas amacyla yaratld. Asimetrik anahtar ifreleme bu chaptern ilerleyen blmnde ele alnacaktr.

Client ve Server asimetrik kriptografi kullandnda toplamda 4 anahtar iin her ikiside kendi anahtar iftini yaratr:servern publick anahtar, servern private anahtar, clientn public anahtar ve clientn private anahtar. Bir sistemin anahtar ifti, bir anahtar ile verinin ifrelenmesini dier anahtar ilede ifrenin zlmesini salayan bir matamatiksel ilikiye sahiptir. Bu anahtarlar, herbir anahtarn dier anahtarn ifreledii verinin ifresini zmek gibi bir asal saylarn faktrlerini bulma temeline dayal bir matematiksel iliiki iindedir. Client ve server karlkl olarak birbirlerini otantike etmek ve bilgi paylamak istediklerinde herbiri uzaktaki sisteme kendi public anahtarn gnderir fakat kesinlikle private anahtarlarn paylamazlar. Her mesaj alcnn public anaktar ile ifrelenir. Sadece alcnn private anahtar bu mesajn ifresini zebilir. Server clienta gidecek olan mesaj clientn public anahtarn kullanarak ifreler. Mesajn ifrelemesini zecek olan anahtar clientdadr bu sayede gizlilik salam olur.

Si

Public ve Private Anahtarlarn Oluturulmas :

na

113

st

CEH Chapter 14

MD5, SHA, RC4, RC5 ve Blowfish Algoritmalar : Algoritmalar 40 bitden 448 bite kadar anahtar uzunluuna gre deiir. Anahtar uzunluu ne kadar fazlaysa ifreleme algoritmasda o kadar gl olur. Brute force, 40 bit uzunlua sahip bir anahtar 1.4 dakika ile 0.2 saniye arasnda krar, bu sre bilgisayarn ilem gcne baldr. Kyaslandnda 64 bitlik anahtar krmak iin 50 yl ile 37 gn arasnda bir sre gerekir tabiki yine bu sre bilgisayarn ilem gcne baldr. Gnmzde 256 bit stndeki herhangi bir anahtarn krlamaz olduu dnlr. Message Diggest 5 (MD5) , Secure Hash Algoritm (SHA), RC4 (Rivest Chiper 4), RC5 ve Blowship,bunlarn hepsi farkl matematiksel algoritmalar kullanan ifrelemelerdir. Bir CEH olarakda bu algoritmalar bilmeniz gerekir.

MD5 : MD5, 128 bitlik bir dizi oluturmak iin rastgele uzunlukta bir giri kullanan
hashing algoritmasdr. Kaynan btnln salamak iin mail veya dkmanlara uygulanan bir dijital imza yaratmak amal olarak kullanlr ve kullanmda yaygndr. Dijital imza ilemi ise, daha sonra gnderenin private anahtar ile ifrelenecek olan, dkmann MD5 mesaj zetini yaratmasdr. MD5 mesaj zetleri dijital imza ileminde private anahtar ile ifrelenir.

SHA : SHA ayn zamanda ifrelenmi verinin 160 bitlik bir zetini yaratan bir mesaj
zetidir. SHA, MD5den biraz daha uzundur ve daha gl bir ifrelemedir. Bu algoritma hkmetler tarafndan tercih edilir.

RC4 ve RC5 : RC4 simetrik key algoritmasdr ve streaming cipherdr yani bir seferde bir
bit ifrelenir. Rastgele matematiksel permutasyon ve deiken anahtar boyu kullanr. RC5 yeni nesil algoritmadr. Deiken blok boyutu ve deiken anahtar bykl kullanr. 256dan daha kk anahtar byklklerine sahip RC5 krlmtr.

Stream ciphera gre daha gldr ve 32 ile 448 bit arasndan deiken anahtar uzunluuna sahiptir.

Si
114

na

Blowfish : Blowfish 64 bit blok ifredir yani veri, ynlar veya bloklar iinde ifrelenir.

st

CEH Chapter 15

eri Girme Test Yntemleri

Bir ieri girme testi, zorla giren kiilerin sistemlere ve irket networkne yetkisiz girii elde edip kullanmasn ve bunlar tehlikeye drmesini simle eden yntemlerdir. Giri testinin nedeni, gvenlik uygulamalarnn ve irket gvenlik politikasnn test edilmesidir. Temel olarak irketin gvenlik nlemlerini kendi gvenlik politikalarna gre uyguladn grmektir. Yetkisiz olarak bir irket networkne girmek isteyen bir hacker, kt bir niyete ve amaca sahip olmayan zorla giri testi yapanlara gre ok farkldr ve kendi becerilerini irketin network gvenliini herhangi bir servis kaybna veya ticari olarak kesintiye neden olmadan artrmak iin kullanrlar. Bu chapterda bir CEH olarak bilmeniz gereken penetration testine (pen test) bakacaz. Gvenlik Deerlendirmelerini Tanmlama : Bir penetration (eri girme veya zorla girme) testi yapan kii, gerek saldrgann network veya bir uygulamann tehlikeye dmesinin potansiyel sonularn tmyle ortaya karmak iin irketin gvenlik durumunun deerledirmesini yapar. Gvenlik deerlendirmeleri; gvenlik denetimleri, gvenlik aklarnn deerlendirilmeleri veya penetration testing gibi kategorilere ayrlabilir. Her bir deerlendirme, deerlendirmeyi yneten kiilerin deerlendirmenin kapsamna gre farkl becerilere sahip olmasn gerektirir. Gvenlik denetimi ve gvenlik ann deerlendirilmesi, bilinen gvenlik zayflklarna kar IP networklerin ve hostlarn, ayaktaki sistemlerin belirlenmesi, kullanclar listelemek ve iletim sistemlerini ve uygulamalarn belirlenmesi, yaygn gvenlik konfigrasyon hatalarna ve gvenlik aklarna bakmak amal olarak dizayn edilmi aralar ile taranmasdr. Gvenlik a veya gvenlik deerledirmesi bir pen testin networke giri denemesi srasnda sadece potansiyel aklklar belirler. Gvenlik deerlendirmesine rnek olarak, bir kapya bakmak ve eer kap kilitli deil ise birilerinin yetkisiz olarak giri yapabileceini dnmektir oysa pen test gerekte bu kapy ap nereye aldn grmeye alr. Pen test genelde bir sistemdeki veya networkteki zayflklar gsteren en iyi yoldur fakat ok fazla ilerleyen ve bu yzdende potansiyel olarak network servisinin kesilmesine neden olur. Zorla Girme Testinin Yntemlerine Bak : ki eit gvenlik deerlendirmesi vardr : Harici ve dahili deerlendirmeler. Bir harici deerlendirme, herkes tarafndan eriilebilir bilgiyi analiz ve test eder, network taramasn ve dkmn idare eder, network perimeter dndan (genelde internet zerinden) exploitleri altrr. Dahili deerlendirme irketi ii networkten gerekletirilir. Testi yapan kii bir alanm gibi baz network eriimlerine sahip olabilir veya ortam ile ilgili bilgisi olmayan bir black hat gibide davranabilir. Black hat pen test genelde beklenmeyen sorunlarn olumasnda yksek riske sahiptir. Takm, zaman ve kaynaklar verimli kullanmak iin olaslk planlarn hazrlamak konusunda tedbirli olmaldr. Eer ii bilen veya deneyimli testileriniz yoksa veya Health Insurance Portability and Acoountability Act (HIPAA-Salk sigortasn korumak amal yasa) gibi denetleme

Si

na

115

st

CEH Chapter 15

Penetration Test Yapmann Admlar : Zorla girme testleri 3 aamaldr : Saldr ncesi aamas Saldr aamas Saldr sonras aamas

Saldr ncesi aama, keif veya veri toplama aamasdr. Penetration testi yapan iin ilk admdr. Whois, DNS veya network taramas ile toplanan bilgi hedef networkn haritasn karmaya yardm eder ve hedef sistemdeki iletim sistemi, alan uygulamalar konusunda deerli bilgiler salar. Pen test, Ip adres blounun belirlenmesi ve kiisel kontak bilgilerini bulmak iin Whois domain ismini kullanmak ve sonrasnda detayl bir network diagramn yaratmak amacyla kullanlacak hostlar ile ilgili bilginin dkmn almak ve hedefleri belirlemek iin gerekletirilir. Ayrca normal network trafiine bakmak iin network filtreleme aygtlarnn testi yaplmal, proxy serverlarda stres testi yaplmal ve default kullanc IDleri, ifreleri ve guest ifrelerinin deitirildiinden veya disable edildiinden ve uzaktan login olmann engellendiinden emin olmak iin firewalln default yklemesi kontrol edilmelidir. Bir sonraki aama saldr aamasdr ve saldr aamas srasndaki aralar tehlikeli ve hassas bir aralktadr. Bu aralar sistemlerin ve networklerin gvenliini test etmek ve takip etmek iin uzman hackerlar tarafndan kullanlr. Aadaki faaliyetleri ierir fakat bunlarla snrl deildir :
Perimetera Girmek : Bu ilem hata raporlarna bakmay, hazrlanm paketli cevaplarn ilenmesi ile Access Control Listlerin kontrol edilmesi ve SSH, FTP ve Telnet gibi eitli protokoller kullanarak protokol filtreleme kurallarnn deerlendirilmesidir. Test eden kii ayrca buffer overflowlar, SQL injectionlar , kt giri dorulamay, kt temizlemeyi ve Dos saldrlarnda test etmelidir.Yazlm testi iin ierdeki web uygulamalarn ve

Si

na

116

st

ihtiyalarnz karlamak iin zel bir deerlendirme gerekletirmeye ihtiyacnz varsa, penetration test ileminizi dardan baka birine yaptrabilirsiniz. Bir firma deerlendirme deyimini kullanrken deerlendirmenin kapsamn belirtmek zorundadr ki bunun iinde neyi test edecei ve neyi test etmiyecei vardr. rnein, bir pen testin Demilitarized Zone (DMZ) iindeki ilk 10 sistemi test snr olarak hedeflemesi veya olabildiince ok a ortaya karan geni kapsaml bir deerlendirmeyi hedeflemesi gibi. alma kapsam olarak, servis seviyesi antlamas (SLA) iinde ciddi bir servis kesintisi durumunda alnacak herhangi bir eylem belirlemenin tanm yaplm olmaldr. Deerlendirme ekibini cazip klacak dier koullar istenilen bir kodu, izlenecek prosedrleri ve etkileimi veya test ekibi ile irket arasndaki etkileimi veya bunun eksikliini belirtebilir. Gvenlik deerlendirmesi veya pen test bir ok farkl aralar ile ki genelde bu cretsiz veya shareware aralardr, manuel olarak yaplabilir. Dier bir farkl yaklamda daha pahal olan aralarn kullanmdr. irketinizin gvenlik durumunu manuel test kullanarak deerlendirme bazen standart ablon kullanan otomatik aralara gre daha iyi bir seenek olabilir. irket bilgiyi analiz edecek olan tecrbeli uzmanlardan yararlanabilir. Manuel olmayan yaklam daha hzl ve kolay olabilecek iken denetleme srasnda baz eyler gzden kaabilir. Bununla birlikte manuel yaklam tarz planlama, zamanlama ve zenli bir dkmantasyon gerektirir.

CEH Chapter 15

wireless konfigrasyonunu test etmek amacyla zaman ayrmanz gerekir bunun nedeni gnmzde ierden gelecek tehlike en byk gvenlik tehlikesi olmasdr.
Hedefi Ele Geirmek : Bu faaliyet dizisi gvenlik a taramas ve denetlemeden daha zor ve byleyicidir. CORE IMPACT gibi ilemleri otomatikletiren exploit arac kulanabilirsiniz veya social engineering ile elde edilen bilgiler kullanlarak sisteme eriim denemesi yaplabilir. Bu eylem ayn zamanda gvenlik politikasnn zorlanmasn, bruteforce ifre krclar veya korunan kaynaklara byk eriim salanmas iin admin aralarnn kullanlmasnn test edilmesinide ierir. Ayrcalklarn Ykseltilmesi : Bir kez kullanc hesab ele geirildiinde test yapan kii bu kullanc hesabnn ayrcalklarn ykselterek networkteki sistemler iin daha fazla ayrcalklar ve haklar verebilir. Bir ok hack arac sistem iindeki gvenlik aklarndan faydalanabilir ve admin ayrcalklarna sahip yeni kullanc hesaplar yaratabilir. altrma, Yerletirme ve Geri ekilme : Bu testin son aamasdr. Hacking beceriniz,ticari ileri kesintiye uratmadan sistem veya network zerinde ayrcalklarn artrlmas ile meydan okumaya balar. Bir iz brakma korunan kaynaklara daha fazla eriim salayabildiinizi gsterebilir. Bir ok firma iaretler veya keyfi kodlar brakmanz istemez ve bu tr snrlamalar test balamadan nce zerinde anlalr ve belirlenir.

Pen-Testin Yasal Yapsna Bak : Penetration testi yapan kiinin bir network hacklemenin yasal sonular konusunda tamamyla etik nedenden dolay bilgi sahibi olmaldr. Hack yapmak konusunda uygulanabilen yasal mevzular Chapter 1 iinde anlatlmtr. Client ile arasnda imzasnn olduu bir penetration testi yapan ethical hackern dokmanlar aadaki gibidir: Nelerin test edileceini belirten iin kapsam Gizlilik antlamas; test eden kiinin nemli bilgileri grmesi durumunda Sorumluluktan feragat; pen test srasnda servislerde meydana gelecek herhangi bir kesinti veya eylem konusunda ethical hacker sorumlu tutmamak iin

Otomatik Olarak Penetration Testi Yapan Aralar : 2006 ylnda hackerlarn mailing listinin anketinde gvenlik a taramas yapan aralar iin bir top 10 listesi yaratld ve buna 3000 den fazla kii cevap verdi. Bu listeyi yaratan Fyodor (http://insecure.org/fyodor) nickli kii unu syledi Gvenlik alanndaki herkese listenin stnde olmalar ve bilmedikleri aralar renmeleri tavsiye edilir. Aadakiler hackern ara antas iinde olmas gereken pen test aralardr :

Si

na

Post-attack veya saldr sonras aamas, test ncesindeki normal konfigrasyonlara sistemi geri getirmektir. Bunun iinde dosyalar kaldrmak, eer aklar yaratlm ise registry iinden kaldrmak, paylamlar ve balantlar kaldrmak bulunur. Son olarak, sonularn hepsini analiz edersiniz ve bunu kapsaml bir rapor iine koyar ve ynetime raporlarsnz. Bu rapor iinde hedefleriniz, gzlemleriniz, giriimde bulunduunuz tm eylemler ve bunlarn test sonular ve gvenlik aklarn dzeltmek iin tavsiyeleriniz bulunur.

117

st

CEH Chapter 15

Nessus : Bu cretsiz network aklk taraycs 11.000 plug-ine sahiptir. Bunun iinde uzak ve lokal gvenlik kontrol , GTK grafik arayze sahip client/server mimarisi ve kendi plug-ininizi yazmanz veya mevcut olan anlamanz iin gml scripting dilide dahildir. GFI LANguard : Bu, Windows iin ticari bir network gvenlik taraycsdr. Bu ara, Ip networkleri hangi makinelerin altn renmek iin tarar. Bilgisayardaki iletim sistemini, hangi uygulamalarn altn, hangi service packlerin ykl olduunu, gvenlik yamalarnn olup olmadn ve daha fazlasn belirler. Retina : Bu ara, eEye tarafndan karlan ticari gvenlik a deerlendirme aracdr. Nessus gibi Retina da networkteki tm hostlar tarar ve bulduu aklar raporlar. CORE IMPACT : Bu ara, en gl mevcut smr arac olarak yaygn bir ekilde kabul grm bir otomatik pen test rndr (Ayrca biraz pahaldr). Byk ve gelimi expolitler iin dzenli gncellenen bir veritabanna sahiptir. zellikleri arasnda bir makineden yararlanma ve sonrasnda dier makinelerede ulap onlardanda yararlanabilmek iin ifrelenmi bir tnel yaratabilmede vardr. ISS Internet Scanner : Bu uygulama seviyesinde aklk deerlendirme aracdr. Networknzde 1300 eitten fazla network cihazn belirleyebilir, bunlar iinde masast bilgisayarlar, serverlar, routerlar/switchler, firewallar, gvenlik aralar ve uygulama routerlar bulunur. X-Scan : X-Scan genel oklu plug-in destekli network aklk taraycsdr. Servis tiplerini, uzak iletim sistemlerini ve versiyonlarn ve zayf kullanc adlarn ve ifrelerini tespit edebilir.

MBSA : Microsoft Baseline Security Analyzer (MBSA), Windows Update Agent ve Microsoft Update eklentisidir. Dier Microsoft rnleri ile tutarll salar ve ortalama olarak her hafta 3 mlyondan fazla bilgisayar tarayabilir.

Bu listeye ek olarak aadaki aklktan yararlanma aralarnda bilmeniz gerekir:

Metasploit Framework : Bu, expolit kodunu kullanmak, gelitirmek ve test etmek iin kullanlan ak kaynak yazlmdr. Canvas : Canvas, aklardan yararlanma aracdr. 150 den fazla exploit ierir.

Si

QualysGuard : Bu web tabanl aklk taraycsdr. Kullanclar kullanm kolay bir web arayz zerinden gvenli bir ekilde QualysGuarda eriebilirler. 5000 den fazla a kontrol edebilme ve sonuca bal tarama zelliine sahiptir.

na

SARA : Security Auditors Research Assistant (SARA) arac, System Administrator Tool for Analyzing Networks (SATAN) taraycsndan tretilmi bir aklk deerlendirme aracdr. Gncellemeler genellikle ayda iki kez yaplr.

118

st

CEH Chapter 15

Pen-Test Sonras Teslim Edilecek eyler : Bir pen test sonunda temel teslim edilecek olan materyal pen test raporudur. Bu rapor iinde olmas gerekenler : Bulduunuz eylerin listesi. Yksek risk srasna gre Bulduklarnzn analizi Bulduklarnzn aklamas veya sonucu Bulduklarnz iin iyiletirme nlemleri Bulduunuz kantlar desteklemenizi salyacak olan aralarn salad log dosyalar irketin gvenlik durumunun ynetici zeti Testi yapann ismi ve testin yapld tarih Bulunan herhangi bir pozitif eyler veya iyi gvenlik uygulamalar

Si
119

na

st