Bir hacker sizin sisteminize uzaktan nasıl müdahale eder bunu gözler
önüne sermek ve kendimizi buna göre hazırlamak gerektiğini düşünüyorum.
Yetenekli ve işini iyi yapan bir hacker, girmek istediği sistemde nasıl
ilerler bunları ortak bir sistem olan UNIX üzerinden anlatacağım. Tabi
bu size kalmış diğer işletim sistemlerinde de aynı sistem doğal olarak
kullnılabilir. Şimdi ilk bölümden başlayalım�

Bölüm 1 - Hacker Bir Sistemden İlk Olarak Bilgi Toplar, Peki nasıl Toplar?;
Bir hacker girmek istediği sistemde ilk olarak web sayfasının
kullandığı sistem ve bu sistemin yer aldığı makinedir. Hedef web
sayfasının kullandığı sistem ve makine bilgisine ulaştıktan sonra ise
web sayfasının sahibi yani yöneticisi hakkında bilgi toplar. Sonuçta
kiminle uğraştığını bilmek zorundadır. Peki istediği bilgilere nasıl
ulaşır.

Yol 1:
Bir saldırıcı adayı, ilk olarak saldıracağı sistemi yakından tanımak
ister. Bu nedenle bir internet sitesine saldırı yapacak şahısın ise ilk
olarak yapacağı iş, saldırı yapmayı düşündüğü internet sitesinin içinde
bulunduğu server hakkında bilgi toplamaktır. Bunu servera host komutu çalıştırarak öğrenmeye çalışır.

Bu sorguyu Domain Adı Sunucusuna yaparlar. Domain alan adı sunucusunun görevi; eski yazımda da belirttiğim gibi alan adı ile, dosyaların saklandığı server ip numarası arasında bağlantı kurar. Yani siz
diye explorer arama çubuğunda siteye giriş komutu verdiğinizde. Domain
adı sunucusu devreye girer ve yazdığınız alan adının dosyalarının
bulunduğu servera ip adresi üzerinden bağlantı kurar.

Böyle bir görevi olan sunucunun, görevi gereği site ile ilgili bir
çok bilgiyi de bünyesinde barındırır. Dolayısıyla bu sunucuya web
siteniz hakkında host komutu çalıştırıldığında sitenizin bir çok
bilgisine ulaşılır. Yapılan bu komut sayesinde web sayfanızın IP
adresi, sunucunuzun işletim sistemi, ve kullanılan makine bilgilerine
ulaşılır. Bu nedenle Host komutu çok önemlidir. Dünya üzerinde yapılan
en tehlikeli 10 komut arasında yer almasının nedeni de budur.

Önlem : Bu komutun tehlikesini en aza indirmenin bazı yolları vardır. Öncelikle servera firewall
(güvenlik duvarı) kurmayı denemelisiniz. Bunun yanında bu servera
erişecek belli ip adresi oluşturabilir ve serverı sadece o ip
adreslerinden yönetebilirsiniz. Eğer tamamen riski ortadan kaldırmak
istiyorsanız, web sunucunuzdaki tüm işlerinizi halledip sunucuyu
dışarıdan erişime kapatabilirsiniz.

Yol 2: Saldırıcının deneyeceği muhtemel 2. yol, web sitenize Whois sorgusu
çekmektir. Whois sorgusu daha çok domain (alan adı) sahibi hakkında
bilgiler verir. Domain sahibinin açık adresi, telefon numarası, mail
adresi, host firması hakkında birçok bilgiye bu sorgu sayesinde
ulaşabilir.

Önlem :
Bu sorguyu etkisiz kılmak için domain aldığınız internet sitesinden
domain admin panelinize giriş yapın ve sizin hakkınızdaki bilgileri
yanlış bilgilerle değiştirin. Eğer saldırıcı sizin mail adresinizi ele
geçirirse, sizin bir çok bilginize ulaşır ve bu da sizin için hiç de
iyi olmaz.

Finger Sorgulamaları:
Bir saldırıcının yaptığı ya da yapacağı finger sorgusunun bize
zararı hayli büyük olabilir. Finger sorgusu çekildiği zaman, o an da
sitede bulunanların ip numaraları, nerden bağlandıkları, mail bilgileri
gibi bilgiler elde edilebilir.

Saldırıcı finger sorgusunu kendi bilgisarında değil de internet
üzerinden başka bir web sitesi üzerinden yapabilir. Bu şekilde sisteme
kendisi değil de o sitenin yaptığı izlenimini verir. Tabi bu durumda,
saldırıcının finger sorgusunu yaptığı site yöneticisiyle iletişime
geçmeyi başarabilirseniz. Site yöneticisi saldırganın ip numarasını,
hatta yerini size bildirebilir. Tabi bu tamamen sizin şansınıza kalmış.

Finger ile ilgili diğer bir yöntem ise, finger yönlendirme
komutudur. Bu yönlendirme ile saldırgan web sitenize bir yönlendirme
kodu yerleştirerek sitenize giren ziyaretçileri istediği başka bir
adrese yönlendirebilir.

Telnet Sunucu Sorgulaması:
Telnet programı ile sunucunuza 25 numaralı porttan sorgulama
gönderir. 25 numaralı portun önemli olmasını sağlayan etken, bu portun
görevinin mail göndermek olmasıdır. Bu nedenle saldırgan telnet
yardımıyla sisteminize sorgula gönderdiğinde eğer o an sistemde olan
birisi varsa o kişinin adı soyadı ve mail adresi ortaya
çıkmaktadır.örnek vermek gerekirse;


vrfy ayhan
250 Ayhan ESEN <info@securityhome.org>

yukarıdaki
örnek sağlam ve doğru bir telnet sonucunu temsil olarak göstermektedir.
Eğer saldırganın telnet sorgusu başarısız olsaydı şöyle bir ekranla
karşılaşacaktı;

vrfy savas
500 savas� User unknown

yukarıdaki
örnekte ise sistemde böyle bir kullanıcının olmadığı ortaya çıkar.
Buraya kadar anlatılanlara bakarsak bilinçli bir saldırganın bir çok
yol denediğini görüyoruz.
Telnet sorgulamasıyla
sendmail özelliğinin, sistem yöneticileri tarafından ne zaman ve nasıl
çalıştığı bilinemez olduğundan hiçbir önlemi olmamaktadır.
Bölüm 2- İşletim Sistemini Bulmak:
Geldik en önemli
başlıklardan birine daha, saldırgan saldırı yapacağı sistemdeki
kullanıcı bilgilerini aldıktan sonra, yine saldırı yapmayı planladığı
serverin kullandığı teknik verileri öğrenmeye çalışır. Server hangi
işletim sistemini kullanıyor, hangi sürümü kullanıyor.
Ama günümüzde aynı server
ağı içerisinde birden fazla farklı işletim sistemleri
kullanılabilmektedir. Ama diğer bir yandan batktığımızda, bu yöntemin
yararından çok zararını göreceğiz. Çünkü her işletim sistemi ve
sürümünün farklı farklı açıkları olabilmektedir. Bu da saldırganın
işine gelir. Çünkü bir işletm sisteminden giriş yapamazsa, başka bir
işletim sisteminden giriş yapmayı deneyecektir. Eğer bir işletim
sisteminde bulunan açıktan faydalanarak içeriye giriş yaparsa, tüm
sistemi etkileyecek zararda bulunabilir.
Böyle bir durumda saldırıcı
yukarıda saydığımız klasik sorgulama yöntemini kullanabilir, ya da nmap
denilen ama kullanımını anlatmayacağım program yardımıyla server
üzerinde port taraması yapabilir.
Bölüm 3- Server Üzerinde Açıkların Aranması:
Bütün bu ilerlermeler
sonucunda saldırgan artık sistemle karşı karşıya kalmıştır. Bu an da
yapacağı tek şeyi yapar ve sistemin açıklarına bakar. Çünkü nerede açık
bulursa oradan sisteme dalacaktır. Bunun için güncel site açıklarını
anlık olarak yayınlayan internet platformları vardır. Saldırgan bu
sitelerde işine yarayacak site açıkları haberlerini bekleyecektir.
işine yarayacak açık yayımlanınca hemen onu kullanıp sonuca ulaşmaya
çalışacaktır.
Kısaca saldırganın ilerlemesinin bir anatomi olarak düşünürsek, saldırganın ulaştığı bilgiler;

-Sistem yöneticisinin kim olduğunu,
-Ağdaki makineler ve işlevleri
-Kullanılan işletim sistemlerini,
-Muhtemel güvenlik açıklarını,
-Sistem yöneticisi tarafından topoloji, yönetim, politika yada sistem
yönetimiyle ilgili Internet�te yaptığı herhangi bir tartışma

Bölüm 4- Saldırganın Bilgi Seviyesine Göre Küçük Saldıralara Başlaması:
Bu
şekildeki saldırıların amacı, saldırganın saldırı yapması halinde
olacakları tahmin etmek istemesidir. Server makinesini bildiği için
aynı tür başka bir makine üzerinde saldırılarını düzenleyebilir, bu
saldırlar sonucunda hem karşı tarafta, hem de kendi tarafında ola(cak)n
değişiklikleri gözlemler. Bunun yanında sisteme giriş yaptığında kendi
nerede ele veriyor, çıkış yaparken iz bırakmamak için hangi dosyaları
silmelidir gibi önemli ilerlemeler de kaydedebilir.

Bölüm 5- Saldırganın Saldırı İçin Kullanacağı Araçlar:
Saldırganın
tüm b ilerlemeler sonucunda kullanacağı araçları belirleyeceği
zamandır. Saldırganlar bu durumda kullanacakları ilk araçlar arasında
web tarayıcıları gelmektedir. Çünkü bazı açıklara, bazı tarayıcılar
yardımıyla daha rahat ulaşılmaktadır.

Önlem:
Bir site yöneticisi bu şekilde bir saldırıyı önlemek için, web
sayfasını oluştururken elinden geldiğince farklı tarayılara göre,
farklı kodlar yerleştirmeli ve siteyi farklı tarayıcılarda kontrol
etmelidir.

Bölüm 6- Saldırgan Stratejisini Belirler:
Buraya
kadar ilerleyen bir saldırgan hangi portta açık olduğunu, hangi
portların girişe elvermediğini bilmektedir. Bu nedenle saldırgan hangi
portlarda tarama yapacağına karar verir ve taramanın sonucunu bekler.

Bölüm 7- İnceleme ve Sonuç Aşaması:
Saldırgan
bir önceki bölümde yaptığı taramalar sonucunda sonuca doğru ilerler.
Yaptığı taramalar sonucunda edindiği bilgileri, yine açık bilgileri
edindiği web sitelerini ziyaret ederek, elindeki açıkları nasıl
kullanacağını öğrenmeye çalışır.

NOT:
-Bu döküman boyunca anlattıklarım klasik yöntemlerdir. Günümüzdeki server sistemleri çok karmaşık ve gelişmiş yapıdadır.
-
Benim anlatmak istediğim, klasik yöntemleri anlayıp ve kavramanızdır.
Bu şekilde site güvenliği hakkında taban bilgilere sahip olacaksınız ve
yeni bir yöntemle yapılacak saldırılarıları anlayıp yorumlayabilirsiniz.
-
Bu şekilde anlattığım bir saldırıyı her hacker yapamaz. Bunu yapacak
hacker çok az sayıdadır. Ancak kararlı ve azimli crackerlar bu şekilde
saldırılara girişirler.
-
Bu zamanda yapılan saldırı yöntem ve teknikleri çok değişmiş ve
gelişmiştir. Fakat grup olarak yapılan saldırlarda her zaman klasik
yöntemler kullanılır, bunu unutmamalısınız.
- Bu yazıyla birlikte internette sizi bekleyen tehlikeleri öğrendiniz ve neye karşı nasıl önlem alacağınızı öğrendiniz.
- Eğer bunları bilmeyen bir sistem yöneticisini firewall kurtarır, ne de bir saldırgan bu seviyelere gelebilir.
-
Bu yazının asıl amacı, bir web site yöneticisin sorumluluğunun na kadar
büyük olduğu, alması gerek önlemler ve yaptığı işin ciddiyetidir.