Cracking Olayinda Yapilacak Islemler ve sirasi: 1. Bilgi Toplama 2. Isletim Sisteminin Belirlenmesi 3. Açiklarin Aranmasi 4. Test Saldirisi Yapilmasi 5. Kullanilacak Araçlar 6. Saldiri Staratejisinin Belirlenmesi 7. Inceleme Asamasi 8. Sonuç ----------------------------------------------------------------- Bu bölümde bir cracker’in planli bir saldiriyi nasil yaptigini adim adim inceleyecegiz. Burada anlatilan islemler bir saldirganin uzaktan bir sisteme nasil saldirdigini anlatmaktadir. Cracker’larin sisteme saldirilari nasil yaptigini bilirsek bu sekilde kendi sistemlerimizde gerekli tedbirleri daha bilinçli olarak alarak sistemimizi daha iyi koruyabiliriz diye düsünüyorum. Bu nedenle konunun bundan sonraki kismina planli olarak yapilan bir saldirinin asamalarini göstermek istiyorum. Genelde pratik olarak yapilan saldirilarda (daha çok aceleci olan ****** kiddie’ler tarafindan yapilan saldirilardir bunlar) burada anlatilan asamalarin çogu atlanabilmektedir. Öncelikle saldiri yapilacak hedef sistemde herhangi bir firewall olmadigini var sayiyoruz. (Tabi artik günümüzde firewall network için vazgeçilmez bir araç haline gelmistir ve gün geçtikçe Internet’e bir sekilde firewall kullanmadan baglanan bir sistem bulmak imkansizlasmaktadir.) Burada anlatilacak olan teknikler cracking için genel bir yöntemdir. Yani her türlü sisteme saldirmak için kullanilabilir ancak biz UNIX sistemi açisindan saldirilari inceleyecegiz. Simdi ilk asamadan baslayarak bir yetenekli ve kararli bir cracker’in bir sisteme nasil saldiracagini inceleyelim: 1. Bilgi Toplama Cracker’in yapacagi ilk is, saldiri yapilacak hedef sistemin kendisiyle dogrudan bir iletisime gerek duymaz! Yani cracker ilk olarak karsidaki sistemin network tipini ve hedef makineler hakkinda bilgi edindikten sonra, hedef sistemde urastigi kisiyi tanimak için onunla ilgili bilgi toplamaya çalisacaktir. Söz konusu kisi tabiki sistemin yöneticiligini yapan root erisimine sahip yöneticidir. Cracker sistem hakkinda bilgi toplamak için asagidaki teknikleri kullanacaktir: a-) Agda bulunan tüm sistemlerle ilgili bilgi toplamak için host sorgusu çalistiracaktir. host komutu domain adi sunucularini (DNS servers) sorgulayarak ag hakkindaki bulunabilecek tüm bilgileri toplar. Domain adi sunucusu o domainle ilgili bir çok bilgi tutarlar, asil amaci alan adlarini IP numaralarina dönüstürmektir ancak ayni zamanda o sistemin donanim ve üzerinde çalisan isletim sistemi gibi bilgileri de saklarlar. nslookup komutu bir DNS sunucusunu sorgulamak için kullanilan komuttur. host komutu da nslookup komutuna benzer ama daha açiklayici ve ayrintili bilgi verir. Bu nedenle host komutu en tehlikeli on komut listesinde yer alir! Örnek olarak bir domain sunucusuna yapilan bir host sorgusunun sonucuna bakalim: host -l -v -t any bu.edu ... bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX PPP-77-25.bu.edu 86400 IN A 128.197.7.237 PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW PPP-77-26.bu.edu 86400 IN A 128.197.7.238 PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW ODIE.bu.edu 86400 IN A 128.197.10.52 ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1 ... STRAUSS.bu.edu 86400 IN HINFO PC-PENTIUM DOS/WINDOWS BURULLUS.bu.edu 86400 IN HINFO SUN-3/50 UNIX (Ouch) GEORGETOWN.bu.edu 86400 IN HINFO MACINTOSH MAC-OS CHEEZWIZ.bu.edu 86400 IN HINFO SGI-INDIGO-2 UNIX POLLUX.bu.edu 86400 IN HINFO SUN-4/20-SPARCSTATION-SLC UNIX SFA109-PC201.bu.edu 86400 IN HINFO PC MS- DOS/WINDOWS UH-PC002-CT.bu.edu 86400 IN HINFO PC-CLONE MS-DOS SOFTWARE.bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/30 UNIX CABMAC.bu.edu 86400 IN HINFO MACINTOSH MAC-OS VIDUAL.bu.edu 86400 IN HINFO SGI-INDY IRIX KIOSK-GB.bu.edu 86400 IN HINFO GATORBOX GATORWARE CLARINET.bu.edu 86400 IN HINFO VISUAL-X-19-TURBO X-SERVER DUNCAN.bu.edu 86400 IN HINFO DEC-ALPHA-3000/400 OSF1 MILHOUSE.bu.edu 86400 IN HINFO VAXSTATION-II/GPX UNIX PSY81-PC150.bu.edu 86400 IN HINFO PC WINDOWS-95 BUPHYC.bu.edu 86400 IN HINFO VAX-4000/300 OpenVMS .... Bu çiktidan da görüldügü gibi host komutu ag ile ilgili olarak çok tehlikeli olabilecek sonuçlar vermektedir. Yukarida ki satirlardan da görüldügü gibi agda bulunan makinelerin IP numaralari, isletim sistemi ve makinenin ne oldugu ögrenilebilmektedir. DNS sunucusunun bu tür bilgileri Internet’te herkese vermesini engellemek için çesitli önlemler alinabilir. Bunun için firewall kullanilabilir. Alan adi sunucu sorgularinin sadece belli bir adres grubu tarafindan yapilmasina izin verilebilir. Yada bu sunuculara disardan erisim tamamen engellenebilir. DNS sunucusunun (BIND sunucusu) konfigüre etmek için /etc/named.conf dosyasi kullanilmaktadir. b-) Standart WHOIS sorgusu. Bu sorguyla cracker o sistemin teknik sorumlusunun bilgilerini almak için kullanir. Bu kisinin e-posta adresi fazla önemli gibi görünmese de bu adres sistem hakkinda çok önemli bilgiler toplamak için kullanilabilir. c-) Usenet ve Web sayfalarinda aram yapmak. Cracker sisteme saldirmadan önce simdiye kadar ögrendigi bilgiler dogrultusunda Internet’te o sistemle ilgili daha fazla bilgiye erismek için aramalar yapacaktir. Yani Cracker eline geçirdigi sistem yöneticilerin yada teknik sorumlularin e-posta adreslerini kullanarak bu kisilerim Usenet yada güvenlikle ilgili mail listelerinde görünüp görünmediklerini arastirir. Cracker’in ilk olarak sistem yöneticisi yada sorumlusunun e-posta adresini aramasi ve bu kisinin bu adresi Internet’te aramasi biraz anlasilmaz gelebilir. Ancak sistem yöneticisi sistemin günlük olarak yönetimini yapmaktadir ve sistemde çikabilecek sorunlarla ilgili olarak Usenet haber gruplarina ve güvenlikle ilgili mail listelerine basvurmus olabilir. Dolayisiyla cracker buralardan sistem yöneticisinin kendi sistemiyle ilgili olarak vermis olabilecegi her türlü bilgiyi toplamaya çalismaktadir. Bu konuda bariz bir örnek verecek olursak, bazen sistem yöneticileri o kadar dikkatsiz olmaktadirlar ki bir haber grubunda bir sounla ilgili olarak tartisirken sistemleri hakkinda baskalarinin bilmemesi gereken bilgileri bile verebilmektedirler. Sistemlerinin root sifresini bile verenlere rastlanabiliyor. Bu sekilde, yani haber gruplarindan ele geçirilen root sifreleriyle crack edilen bir sürü sistem vardir! Ancak burda cracker için asil zor olan kisim sistem yöneticisinin kullanici ID ve e-posta adresini dogru olarak ele geçirmesidir. Bunun için çesitli yollari deneyecektir cracker. Sistem yöneticisinin diger network’larda bulunabilecek account’larini da takip edebilir. Bunu takip etmek için cracker finger ve ruser gibi komutlari kullanabilir. Bildiginiz gibi finger komutu sisteme logon olan kullanicilari göstermektedir. Ayrica finger sistemde logon olmayan bir kullanicinin en son nereden login oldugunu da gösterir. Iste yöneticinin en son login oldugu sistemlerdeki adresi de takip edilerek bu kisiyle ilgili diger bilgilere erismeyi deneyebilir. Finger Sorgulari : Finger sorgulari bir cracker için yukarida degindigimiz gibi sistem hakkinda çok fazla bilgi verebilir. Sistemde logon olmus kullanici ID’lerini, isimlerini, en son login olduklari yeri, mail bilgileri gibi bir çok bilgi verir. Cracker’imiz saldirdigi sistemde süphe uyandirmamak için Internet’te yüzlerce sitede bulunabilecek “finger gateway” lerini kullanacaktir. Bu sunucular bir web sayfasindan kullanicidan finger sorgusu gönderilecek olan sunucu adresini alir ve o sunucuya finger sorgusunu yollayarak yine sonuçlari ekrana getirir. Böylece cracker kendi gerçek IP numarasinin saldirdigi sistem loglarinda görünmesini engelleyebilir. Tabi aslinda bu gerçek bir gizlilik saglamaz, hedef sistemdeki sistem yöneticisi çok fazla paranoyaksa bu finger gateway sunucusunun sistem yöneticisi ile temasa geçerek cracker’in gerçek IP adresini ele geçirebilir. Bu sekilde çalisan diger bir yöntemse finger yönlendirme islemidir. Daha önceki bölümde gördügümüz gibi, cracker bir finger finger kullanici@gercek_sunucu.com@gecici_sunucu.com Aslinda finger bir sistemdeki kullanicilarin listesini çikarmak için kullanilan tek yol degildir bundan baska güvenlik dünyasinda çok fazla güvenlik açigi bulunmasiyla meshur olan sendmail programi da kullanilabilir. Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir. Örnek olarak; telnet smtp_sunucusu.com 25 Bu komut smtp_sunucusu.com sunucusunun 25 numarali portuna (yani SMTP portuna) telnet baglantisi saglar. SMTP mail göndermek için kullanilan bir protokoldür. Ancak telnet yapildiktan sonra SMTP sunucusunun izin verdigi bir dizi komut kullanilabilir. mail from, rcpt to, data , quit gibi komutlar çalistirilabilir. Ancak iki tane komut vardirki bunlar sistemdeki kullanicilar hakkinda bilgi vermektedir. Bunlar vrfy ve expn komutlaridir. Bu komutlar sistemde bulunan bir kullanici ID’sini onaylamak için kullanilirlar. telnet islemini yaptiktan ve sunucuya baglanildiktan sonra telnet ekraninda asagidaki gibi bir komut girilebilir: vrfy savas 250 Savas Kose Buradaki 2. satir smtp sunucusunun bize gönderdigi cevap satiridir. SMTP 250 dönüs degeri basarili bir islem oldugunu belirtir ve savas kullanicisinin gerçekten sistemde oldugunu ve gerçek isminin Savas Kose oldugunu belirtir. Ayrica satirin devaminda bu kullanicinin email adresinin de vermektedir. Eger sunucuda bu kisi yoksa sunucu 550 dönüs degeriyle hata verecektir. vrfy savas 500 savas... User unknown Burdan da sistemde böyle bir kullanici olmadigi anlasilir. Bu örnekten de anlasildigi gibi cracker’lar sistem hakkinda bilgi toplamak için çok degisik yöntemleri denemektedirler. sendmail’in bu özelligi genellikle sistem yöneticileri tarafindan bilinmedigi için hiç bir önlem alinmaz. sendmail’in bazi sürümlerinde bu komutlar çalismazken bazilarinda bu komutlar sorgulanan kullanici ismini aynen getirmektedir. Ancak kullanilan sendmail programinin bu komutlara izin verip vermedigi kontrol edilmelidir. Eger izin veriyorsa bu komutlarin çalismasi sendmail konfigürasyon dosyasindan engellenmelidir. Bunun için /etc/sendmail.cf dosyasina asagidaki satirin girilmesi yeterli olacaktir. O PrivacyOptions=goaway Diger yandan sendmail konusunda güvenlik yönünden yapilmasi gereken bir çok ayar vardir bunlar için sendmail’in dökümantasyonunda güvenlik konusuna bakilabilir. (sendmail sistemini ayrintili olarak anlatan O’REILLY’den “sendmail” adli kitap yararli olabilir.) Cracker sistem hakkinda bilgi toplamak için bilinen tüm yollari deneyebilir. Daha önce de degindigimiz bu yöntemleri kisaca hatirlatmak için güvenlik dünyasinda yazdiklari araçlarla çok ünlü olan Dan Farmer ve Wietse Venema’nin yazdigi bir makaleden (improving security by breaking into it) alinti vermek istiyorum: “Ilk olarak saldirdiginiz sistemle ilgili olarak mümkün oldugu kadar bilgi toplamaya çalisin. Bunun yapmak için kullanilabilecek çok zengin network servisleri vardir: finger, showmount, rpcinfo komutlari iyi birer baslangiçtir. Ancak sadece bunlarla yetinmemelisiniz ayrica DNS, whois, sendmail(smtp), ftp, uucp ve bulabildiginiz tüm servisleri kullanmalisiniz.” Bu açiklamadan da anlasildigi gibi bir sistem hakkinda edinilebilecek her türlü bilgi saldiri için ise yarayabilir. 2. Isletim Sisteminin Belirlenmesi Cracker sistem yöneticisi ve ag hakkinda gerekli bilgileri topladiktan sonra saldiracagi agda bulunan sistemlerde kullanilan isletim sistemlerini ve sürümlerini belirlemek için bir önceki kisimda anlatilan tekniklerin disinda çesitli teknikleri deneyebilir. Günümüzde artik aglar daha fazla heterojen bir yapiya sahiptir. Ayni agda çok degisik donanim ve isletim sistemleri kullanilabilmektedir. Ancak bu güvenlik yönünden çok daha fazla açik olmasina neden olacaktir. Ne kadar çok isletim sistemi varsa o kadar da güvenlik açigi olacaktir. Çünkü her sistem kendisine özgü güvenlik açiklari içerebilir ve bu sekildeki bir agda cracker’in bir güvenlik açigi bulmasi ve tüm ag’in güvenligini tehlike altina atmasi kaçinilmazdir. Cracker isletim sistemlerini belirlemek için ftp, telnet gibi servisleri deneyebilecegi gibi hemen hemen kesin çözüm verecek olan bir araç ta kulanabilir. Bu araçlardan biri nmap aracidir. nmap aslinda bir port tarayicisidir. Ancak nmap ayni zamanda taranan sistemdeki çalisan isletim sistemini de büyük bir dogruluk oraniyla tahmin edebilmektedir. Starting nmapNT V. 2.53 by ryan@eEye.com eEye Digital Security ( http://www.eEye.com adresinden bulabilirsiniz. 6. Saldiri Staratejisinin Belirlenmesi Cracker planli bir saldiriyi bir neden olmadan yapmayacaktir. Benzer bir sekilde saldiri yapacagi bir sisteme de belli bir plani olmadan saldirmayacaktir. Cracker’in saldiri stratejisi yapmak istedigi ise göre degisir. Ancak bazi noktalar açiktir. Örnek olarak cracker topladigi tüm bilgilerden saldiracagi agin bazi bölümlerinin router, switch, birdge yada diger cihazlarla segmente edildigini bulursa bu kisimlari tarama disi birakabilir. Zira segmented bir agda bir bilgisayari ele geçirmek cracker için ana sisteme gitmek için ise yaramayacaktir. Çünkü segmente edilmis bir sistemde sniffer yada spoofing teknikleri router yada switch üzerinden geçemezler. Cracker stratejisini de belirledikten sonra artik tarama islemine geçebilir. Kolay gelsin! 7. Inceleme Asamasi Cracker taramalardan sonra buldugu sonuçlarin incelemesine baslayacaktir. Bu islem cracker’in buldugu sonuçlara baglidir. Ancak bu asama artik günümüzde çok kolay hale gelmistir. Eski tarayicilar sadece buldugu açiklari listelemekte ancak bunlarla ilgili fazla bilgi vermemektedirler. Ancak artik çogu tarayici, SAINT, twwwscan, CIS... bulduklari açiklarla ilgili olarak açiklayici bilgi ve o açikla ilgili Internet adreslerini de vermektedirler. Hatta SATAN, SAINT gibi tarayicilar açiklarla ilgili veri tabanlari da tutmaktadirlar sadece bunlarin incelenmesi bile cracker için çok önemli bilgiler saglayabilir. Bu noktada cracker daha önce açiklari toplamak için bas vurdugu sitelere giderek , BUGTRAQ gibi, buldugu açiklarla ilgili olarak daha ayrintili bir arastirma yapabilir. Not: Burada sunu da belirtmek gerekir bir gecede mükemmel bir sistem yöneticisi yada mükemmel bir cracker olmanin yolu yoktur. Saldirilarin tabiatini tam olarak anlamak için güvenlik açiklarinin, kaynak kodlarin, isletim sistemlerinin haftalarca çalisilmasi gerekir. Sabir ve tecrübenin yerini hiç bir sey alamaz. Örnek olarak çok ünlü bir cracker olan Kevin Mitnick ve yine çok ünlü bir hacker olan Weitse Venema, yaptiklari iyi yada kötü isleri, çok çalismaya, yaraticiliklarina ve kararli ve azimli olmaya borçludurlar. Kisacasi konuya hakim olmayan bir sistem yöneticisi için bir Firewall hiç bir ise yaramayacagi gibi, yeni bir cracker için de SATAN gibi tarayicilar uzak bir sistemi crack etmek için bir ise yaramayacaklardir. Iyi planlanmis güçlü bir saldiri yarim bilgisi olan bir cracker’in yapacagi is degildir. Sistemin derinliklerini iyi bilen ve kendisini TCP/IP konusunda çok egitmis bir kisinin isi olabilir...
