CENGİZ-HAN
Öğrenci
- Katılım
- 4 Haziran 2013
- Mesajlar
- 18
- Reaksiyon puanı
- 1
- Puanları
- 0
İşyerleri, kafeler, havaalanları ve benzeri bir çok yerde ortak kullanıma açılmış ağlarda gerekli basit güvenlik önlemleri alınmazsa bedeli ağır olabilecek sonuçlar ödeyebiliriz. Ortak ağlarda karşımıza çıkabilecek tehlikeler ve bu tehliklerden nasıl kurtulacağımız yazımızın konusu olacak.
Ortadaki Adam (MITM) Saldırısı
Ağ güvenliğinin kırılma noktalarından birisi arp poisoning saldırılarıdır. Bu saldırı altındaki bilgisayarın dış dünyaya gönderdiği ya da dışardan gelen tüm bilgiler dinleme yapan kişi tarafından ele geçirilebilir. Sisteminiz istediği kadar güvenilir olsun bilgi bilgisayarınızdan çıktıktan sonra güvensiz ortamda yol almaktadır. Araya giren üçüncü bir kişi tüm verilere ulaşabilir. Örneğin şifreli bağlantı yapılmamışsa gönderdiğiniz mailler, facebook mesajları (Şekil-1) girdiğiniz sayfalar, indirdiğiniz dosyalar, google aramalarınız v.b herşeye ulaşılabilir.
Şekil-1 Araya girme ile görülen mesaj
Arp poisoning saldırısı ile dinlendiğinizi windows işletim sisteminde arp komutuyla takip edebilirsiniz.(Aynı komut Mac OS işletim sistemlerinde de kullanılabilir.)
Şekil-2 Arp tablosu
Şekil-2'deki gibi ilk arp tablosunda gateway adresimizin(192.168.1.1) mac adresi olması gerektiği gibi fakat ikinci kontrolümüzde gateway adresimizin mac adresi saldırganın mac adresi olarak değişmiş yani arp poisoning saldırısı altındayız.
Şekil-3 WinARP Watch
Ya da arp tablosunu otomatik takip eden windows işletim sistemi için winarpwatch isimli programı kullanabilirsiniz. Program çalıştırıldığında sistem saatinin olduğu yere yerleşerek saldırı anında renk değiştirerek uyarı yapar.
Cookie Tehlikesi
İnternet üzerinde sörf yaparken girdiğimiz siteler daha sonra tekrar geldiğimizde bizi hatırlayabilmek için bilgisayarımıza cookie(çerez) denen bilgilerimizin kaydedildiği küçük dosyalar yerleştirirler. Cookie'ler kullanım amacı düşünüldüğünde kullanıcıların işlerini kolaylaştırmaktadır. Örneğin siteye girişte kullandığınız kullanıcı adı ve şifreleriniz cookie dosyalarını silmediğiniz ya da oturumu sonlandırmadığınız sürece tekrar girişlerde sorulmadan oturum açılır. Fakat birileri bu küçük dosyaları sizden alsa ve kendi bilgisayarında kullansa ne olur. Oturum sonlandırmadan ya da süresi dolmadan alınırsa oturumunuz ele geçirilir. Yani facebook hesabınıza ait cookie'ler alınmışsa şifrenize ihtiyaç duymadan facebook sayfanızdan adınıza mesaj atıp paylaşımda bulunabilir, şifrenizi değiştirerek hesabınızı ele geçirebilir. Cookie'ler bilgisayarınızın başına geçmeden de ele geçirilebilir. Ortak kullanılan ağa kurulmuş bir sniffer ağ üzerinde gidip gelen tüm paketleri toplayarak sizin cookie'leri elde edebilir. Sonra bu cookie basit bir cookie editörü ile Firefox üzerinden yüklendiğinde oturum ele geçirilmiş olur.
Şekil-4 Wireshark altında Cookie'leri görme
Şekil-5 Ağda dolaşan Cookie'leri bulan script
Cookie hırsızlığına karşı dikkat edilmesi gerekenleri sıralarsak. Öncelikle takip ettiğiniz siteyle ilgili işiniz bittiğinde oturum sonlandırmayı unutmayın. Cookie'ler direk bilgisayarınız üzerinden alınacaksa bilgisayarınız başında olmadığınız anlarda şifre korumalı ekran koruyucu açık olmalı ya da bilgisayar oturumunuz kapalı olmalı. Ortak ağa sniffer kurarak dinleme yapılıyorsa arp poisoning saldırılarına karşı daha önce anlattığımız yöntemler uygulanabilir. Facebook için en kestirme çözüm hesap ayarları menüsünden güvenlik bölümünde güvenli gezinmeyi seçmek. Artık tüm facebook verileriniz şifrelenerek ağa gönderildiğinden cookie'ler ağ üzerinden dinleme ile ele geçirilemez.
Şekil-6 Facebook güvenlik ayarları
Şekil-7 Facebook güvenli gezinme
Sistem Açıkları
İşletim sistemleri (windows, mac os x, linux ...) kusursuz sistemler değildir. Bu sebeple belirli dönemlerde sistem güncelleştirmesi yapılarak ortaya çıkan açıklar kapatılır. Şayet sistemin güvenlik güncelleştirmeleri yapılmamışsa, birileri bu açıkları kullanarak sisteminize sızabilir. Sistem açıklarını exploit ederek sızma gerçekleştirildiğinde artık tüm sistem çalıştırılan payload'ın(truva atı) gücüne göre tamamen ya da kısmen saldıranın eline geçmiştir. Exploit kullanarak sistemlere girmek için eskilerde bazı dillere biraz hakim olmak gerekirdi fakat son dönemlerde mevcut exploit'leri kullanabilmek için geliştirilmiş araçlar var.
Bilgisayarınıza payload ile girildikten sonra, dosyalarınıza ulaşabilir, keylogger ile bastığınız tuşlar kaydedilebilir mikrofon ve web kamerası var ise onlar dahi çalıştırılabilir. Kısaca bilgisayarınız tümüyle karşı tarafın elindedir.
Şekil-8 Sistem açıkları ile sızma
Peki ne yapılabilir. İşletim sisteminizi düzenli olarak güncellemeli, varsa güvenlik duvarını aktif hale getirmeli (windows işletim sistemlerinde hazır olarak gelen güvenlik duvarının aktif olması sistem açıklarına karşı iyi bir çözümdür), iyi ve veritabanı güncel antivürüs programı kullanılmalı. Bunların hepsi yapılsa da tam güvenlik diye bir şey yoktur. Payload'ları yeniden kodlayarak virüs tarama programlarını atlatan encoder'ler mevcut. Hatta bu encoder'ler de artık işlevsiz hale geldiğinden multi encoder ile payload'ı defalarca encode ederek güncel antivirüsler dahi atlatılabilmektedir.
Şekil-9 Virus Total sonuçları
Şekil-9'da multi encoder script ile oluşturulmuş payload 44 antivirüs programından sadece 13'ü tarafından tesbit edilebilmiş. ( www.virustotal.com adresinde şüphelendiğiniz dosyaları rahatlıkla kontrol edebilirsiniz.) İşletim sisteminiz güncel ve korunmalı ise yine de encode edilmiş payload'lar e-postanıza gelen basit bir link ile sisteminize bulaşabilir. Kaynağı belirsiz linkler ya da dosyalara da dikkat etmek gerekir.
Güvenlik Kameraları
Şirket içi ağlarda güvenliği sağlamak amacıyla kurulan ve çoğunluğu İnternet üzerinden (http ya da kontrol programlarıyla) kontrole açık güvenlik kameraları kurulum sonrasında güvenlik gereksinimleri doğrultusunda ayarlanmadığından büyük güvenlik açığı oluşturmaktadır.
Güvenlik kameraları kurulum sonrası genellikle kullanılan markanın standart kullanıcı adı ve şifreleri değiştirilmeden kullanıma sunulmaktadır. Ayrıca web ve İnternet üzerinden erişime olanak sağlamak için 80 ve diğer gerekli portları açık olarak hizmet sağlamaktadır. Bu durumda ortak ağa bağlanmış olan herhangi biri gerekli port taramalarını yaparak DVR cihazının ip adresini rahatlıkla bulup standart kullanıcı adı ve şifre ile web arayüzünden cihaza bağlanabilmektedir. Bu cihazları doğru ayarlamadan İnternet üzerinden erişime izni vermek güvenlik sorununu daha da arttırmaktadır. Dünyanın herhangi bir yerinde İnternet erişimi olan biri zaten markalara göre standart olan port'u belli bir ip aralığında taratarak erişime açık kameraları tesbit edip bağlanabilmektedir.
Sadece standart kullanıcı adı ve şifreyi değiştirerek bu güvenlik açığından kurtulmak mümkün. Ayrıca imkan vermesi halinde İnternet erişimine olanak sağlayan portları da değiştirmek güvenliği arttıracaktır.
Ortak ağlardaki tehlikelerin bir çoğuna artık cep telefonları, tabletler üzerinde de kullanılabilen şifreli bağlantı imkanı veren VPN bağlantısı ile çözüm getirebilirsiniz. Yapılan bağlantı saldırgana ulaşsa bile şifreli olduğundan anlamsızdır.
Not : Bayram ALTUN 'a bu makalesinden dolayı teşekkürler.
Ortadaki Adam (MITM) Saldırısı
Ağ güvenliğinin kırılma noktalarından birisi arp poisoning saldırılarıdır. Bu saldırı altındaki bilgisayarın dış dünyaya gönderdiği ya da dışardan gelen tüm bilgiler dinleme yapan kişi tarafından ele geçirilebilir. Sisteminiz istediği kadar güvenilir olsun bilgi bilgisayarınızdan çıktıktan sonra güvensiz ortamda yol almaktadır. Araya giren üçüncü bir kişi tüm verilere ulaşabilir. Örneğin şifreli bağlantı yapılmamışsa gönderdiğiniz mailler, facebook mesajları (Şekil-1) girdiğiniz sayfalar, indirdiğiniz dosyalar, google aramalarınız v.b herşeye ulaşılabilir.
Şekil-1 Araya girme ile görülen mesaj
Arp poisoning saldırısı ile dinlendiğinizi windows işletim sisteminde arp komutuyla takip edebilirsiniz.(Aynı komut Mac OS işletim sistemlerinde de kullanılabilir.)
Şekil-2 Arp tablosu
Şekil-2'deki gibi ilk arp tablosunda gateway adresimizin(192.168.1.1) mac adresi olması gerektiği gibi fakat ikinci kontrolümüzde gateway adresimizin mac adresi saldırganın mac adresi olarak değişmiş yani arp poisoning saldırısı altındayız.
Şekil-3 WinARP Watch
Ya da arp tablosunu otomatik takip eden windows işletim sistemi için winarpwatch isimli programı kullanabilirsiniz. Program çalıştırıldığında sistem saatinin olduğu yere yerleşerek saldırı anında renk değiştirerek uyarı yapar.
Cookie Tehlikesi
İnternet üzerinde sörf yaparken girdiğimiz siteler daha sonra tekrar geldiğimizde bizi hatırlayabilmek için bilgisayarımıza cookie(çerez) denen bilgilerimizin kaydedildiği küçük dosyalar yerleştirirler. Cookie'ler kullanım amacı düşünüldüğünde kullanıcıların işlerini kolaylaştırmaktadır. Örneğin siteye girişte kullandığınız kullanıcı adı ve şifreleriniz cookie dosyalarını silmediğiniz ya da oturumu sonlandırmadığınız sürece tekrar girişlerde sorulmadan oturum açılır. Fakat birileri bu küçük dosyaları sizden alsa ve kendi bilgisayarında kullansa ne olur. Oturum sonlandırmadan ya da süresi dolmadan alınırsa oturumunuz ele geçirilir. Yani facebook hesabınıza ait cookie'ler alınmışsa şifrenize ihtiyaç duymadan facebook sayfanızdan adınıza mesaj atıp paylaşımda bulunabilir, şifrenizi değiştirerek hesabınızı ele geçirebilir. Cookie'ler bilgisayarınızın başına geçmeden de ele geçirilebilir. Ortak kullanılan ağa kurulmuş bir sniffer ağ üzerinde gidip gelen tüm paketleri toplayarak sizin cookie'leri elde edebilir. Sonra bu cookie basit bir cookie editörü ile Firefox üzerinden yüklendiğinde oturum ele geçirilmiş olur.
Şekil-4 Wireshark altında Cookie'leri görme
Şekil-5 Ağda dolaşan Cookie'leri bulan script
Cookie hırsızlığına karşı dikkat edilmesi gerekenleri sıralarsak. Öncelikle takip ettiğiniz siteyle ilgili işiniz bittiğinde oturum sonlandırmayı unutmayın. Cookie'ler direk bilgisayarınız üzerinden alınacaksa bilgisayarınız başında olmadığınız anlarda şifre korumalı ekran koruyucu açık olmalı ya da bilgisayar oturumunuz kapalı olmalı. Ortak ağa sniffer kurarak dinleme yapılıyorsa arp poisoning saldırılarına karşı daha önce anlattığımız yöntemler uygulanabilir. Facebook için en kestirme çözüm hesap ayarları menüsünden güvenlik bölümünde güvenli gezinmeyi seçmek. Artık tüm facebook verileriniz şifrelenerek ağa gönderildiğinden cookie'ler ağ üzerinden dinleme ile ele geçirilemez.
Şekil-6 Facebook güvenlik ayarları
Şekil-7 Facebook güvenli gezinme
Sistem Açıkları
İşletim sistemleri (windows, mac os x, linux ...) kusursuz sistemler değildir. Bu sebeple belirli dönemlerde sistem güncelleştirmesi yapılarak ortaya çıkan açıklar kapatılır. Şayet sistemin güvenlik güncelleştirmeleri yapılmamışsa, birileri bu açıkları kullanarak sisteminize sızabilir. Sistem açıklarını exploit ederek sızma gerçekleştirildiğinde artık tüm sistem çalıştırılan payload'ın(truva atı) gücüne göre tamamen ya da kısmen saldıranın eline geçmiştir. Exploit kullanarak sistemlere girmek için eskilerde bazı dillere biraz hakim olmak gerekirdi fakat son dönemlerde mevcut exploit'leri kullanabilmek için geliştirilmiş araçlar var.
Bilgisayarınıza payload ile girildikten sonra, dosyalarınıza ulaşabilir, keylogger ile bastığınız tuşlar kaydedilebilir mikrofon ve web kamerası var ise onlar dahi çalıştırılabilir. Kısaca bilgisayarınız tümüyle karşı tarafın elindedir.
Şekil-8 Sistem açıkları ile sızma
Peki ne yapılabilir. İşletim sisteminizi düzenli olarak güncellemeli, varsa güvenlik duvarını aktif hale getirmeli (windows işletim sistemlerinde hazır olarak gelen güvenlik duvarının aktif olması sistem açıklarına karşı iyi bir çözümdür), iyi ve veritabanı güncel antivürüs programı kullanılmalı. Bunların hepsi yapılsa da tam güvenlik diye bir şey yoktur. Payload'ları yeniden kodlayarak virüs tarama programlarını atlatan encoder'ler mevcut. Hatta bu encoder'ler de artık işlevsiz hale geldiğinden multi encoder ile payload'ı defalarca encode ederek güncel antivirüsler dahi atlatılabilmektedir.
Şekil-9 Virus Total sonuçları
Şekil-9'da multi encoder script ile oluşturulmuş payload 44 antivirüs programından sadece 13'ü tarafından tesbit edilebilmiş. ( www.virustotal.com adresinde şüphelendiğiniz dosyaları rahatlıkla kontrol edebilirsiniz.) İşletim sisteminiz güncel ve korunmalı ise yine de encode edilmiş payload'lar e-postanıza gelen basit bir link ile sisteminize bulaşabilir. Kaynağı belirsiz linkler ya da dosyalara da dikkat etmek gerekir.
Güvenlik Kameraları
Şirket içi ağlarda güvenliği sağlamak amacıyla kurulan ve çoğunluğu İnternet üzerinden (http ya da kontrol programlarıyla) kontrole açık güvenlik kameraları kurulum sonrasında güvenlik gereksinimleri doğrultusunda ayarlanmadığından büyük güvenlik açığı oluşturmaktadır.
Güvenlik kameraları kurulum sonrası genellikle kullanılan markanın standart kullanıcı adı ve şifreleri değiştirilmeden kullanıma sunulmaktadır. Ayrıca web ve İnternet üzerinden erişime olanak sağlamak için 80 ve diğer gerekli portları açık olarak hizmet sağlamaktadır. Bu durumda ortak ağa bağlanmış olan herhangi biri gerekli port taramalarını yaparak DVR cihazının ip adresini rahatlıkla bulup standart kullanıcı adı ve şifre ile web arayüzünden cihaza bağlanabilmektedir. Bu cihazları doğru ayarlamadan İnternet üzerinden erişime izni vermek güvenlik sorununu daha da arttırmaktadır. Dünyanın herhangi bir yerinde İnternet erişimi olan biri zaten markalara göre standart olan port'u belli bir ip aralığında taratarak erişime açık kameraları tesbit edip bağlanabilmektedir.
Sadece standart kullanıcı adı ve şifreyi değiştirerek bu güvenlik açığından kurtulmak mümkün. Ayrıca imkan vermesi halinde İnternet erişimine olanak sağlayan portları da değiştirmek güvenliği arttıracaktır.
Ortak ağlardaki tehlikelerin bir çoğuna artık cep telefonları, tabletler üzerinde de kullanılabilen şifreli bağlantı imkanı veren VPN bağlantısı ile çözüm getirebilirsiniz. Yapılan bağlantı saldırgana ulaşsa bile şifreli olduğundan anlamsızdır.
Not : Bayram ALTUN 'a bu makalesinden dolayı teşekkürler.
