Baglantilar

08 Eylül 2007
Yazar: | Kategori: Yazilim
Yorum: 56

Download (inndirmek için);

http://www.hell-world.org/files/DeepUnfreezer1.6.rar
Şifresi(pass); hellboy726

deepfreeze-unfeeze

Üreticinin Tanıtımı:
Deep Unfreezer,Her bilgisayar kullanıcısı aynı düzeyde bilgi bilemediğinden oturdukları bilgisayarlarda yanlışlıkla bir takım hatalara sebep olabilirler ya da çocuğunuz yanlışlıkla sistem dosyalarını silebilir.Çözüm şimdiye kadar formattı, ta ki deep freeze çıkana kadar.

Bugün hemen her yerde karşımıza Deep Freeze yüklü bir bilgisayar çıkar ve bir program yüklemek istediğimizde şifreyi bilmediğimiz için yükleyemeyiz ve programı deneyemeyiz ya da herhangi bir ayar yaptığımızda ya da bir yazı yazdığımızda eğer başka bir yere cd-disket vb. kaydetmediysek bilgisayarı yeniden başlatınca her şey eskiye döner.

Ama artık öyle olmayacak.

İşte bu gibi durumlarda bu program imdadımıza koşuyor.Ve biz şifre bilmesek te artık istediğimiz deep freeze yüklü makinelerde dosya yükleyebilecek ve yazı kaydedebileceğiz.

Hatta iddia ediyorum ve garanti veriyorum 100 Kilobyte büyüklüğündeki bu programı yanınızdan kesinlikle ayıramayacaksınız

Program kısa ve basit bir işlem ile Deep Freeze programını şifre girmeden pasif hale getiriyor. Ancak bunu yaptıktan sonra bilgisayarı yeniden başlatmayı unutmayın

NOT:
Program sadece Win 9x/2K/XP işletim sistemlerinde kullanılabiliyor
Yalnız programın tek eksiği her sürümde kullanılamaması
Programın kullanılabileceği versiyonlar ise şöyle:

Windows 9X:
3.32.000.0534, 5.10.051.1089, 5.20.250.1125, 5.30.150.1181, 5.40.051.1248, 5.50.051.1288, 5.50.051.1299, 5.50.051.1302, 5.50.150.1302, 5.60.051.1347, 5.60.150.1347, 5.70.051.1372, 5.70.250.1372,
5.70.051.1378,
5.70.250.1378

Windows 2K/XP:

4.20.020.0598, 4.20.021.0613, 4.20.120.0604, 4.20.121.0613, 5.10.021.1089, 5.20.220.1125, 5.30.120.1181, 5.40.021.1248, 5.50.021.1288, 5.50.021.1299,
5.50.021.1302
5.50.120.1302
5.60.021.1347
5.60.120.1347
5.70.021.1372, 5.70.220.1372,
5.70.021.1378
5.70.220.1378

Prograın kısaca kullanımı şöyle:
Eğer programı yükleyeceğiniz bilgisayarda Deep Freeze programı varsa
Log:kısmında resimde olduğu gibi Deep Freeze Detected yazacaktır.
Boot Frozen: harddiskin dondurulmuş hali bu durumda hiç bir yeni ekleme (program, yazı … )yapamazsınız restart yapınca her şey eskiye döner.
Boot thawed on next ? restarts:Bilgisayar ? kadar restart yaptıktan sonra bir şey yüklenmeye müsait olsun.yani harddisk tekrar açılsın.
Boot Thawed:Harddisk ilk restarttan sonra açılsın.
Load Status:Ayarları yükle
Save Status:Ayarları kaydet
İstediğiniz ayarı seçtikten sonra Save Status a tıklayın ve ardından Exit e basarak bilgisayarı yeniden başlatın.
NOT:
Tüm istediğiniz ayarları yaptıktan sonra ayarların etkin olabilmesi için bilgisayarı yeniden başlatmanız gerekmektedir.

Prograın kısaca kullanımı şöyle:
Eğer programı yükleyeceğiniz bilgisayarda Deep Freeze programı varsa

1 ) Log:kısmında resimde olduğu gibi Deep Freeze Detected yazacaktır.
2 ) Boot Frozen: harddiskin dondurulmuş hali bu durumda hiç bir yeni ekleme (program, yazı … )yapamazsınız restart yapınca her şey eskiye döner.
3 ) Boot thawed on next ? restarts:Bilgisayar ? kadar restart yaptıktan sonra bir şey yüklenmeye müsait olsun.yani harddisk tekrar açılsın.
4 ) Boot Thawed:Harddisk ilk restarttan sonra açılsın.
5 ) Load Status:Ayarları yükle
6 ) Save Status:Ayarları kaydet

İstediğiniz ayarı seçtikten sonra Save Status a tıklayın ve ardından Exit e basarak bilgisayarı yeniden başlatın.

Download (inndirmek için);http://www.hell-world.org/files/DeepUnfreezer1.6.rar
Şifresi(pass); hellboy726

08 Eylül 2007
Yazar: | Kategori: Güvenlik
Yorum: 0

Bilgisayar kullanan her kişinin en büyük sorunu virüslerdir. Hemen hemen her kullanıcının sürekli olarak virüslerden yakındığını görürsünüz. Birçok kullanıcı önemli bilgilerini ve zamanını virüsler yüzünden kaybeder. Ancak tüm bunlara rağmen hala virüslerin tam olarak ne olduğu ve bunlardan nasıl korunacağımız yönünde yeterince bilgi sahibi değiliz. Virüsü kısaca şu şekilde tanımlayabiliriz; virüs; bilgisayar programlarına istem dışı olarak eklenen ve programların yapması gereken asıl fonksiyonlarını hiç yaptırmayan, kısıtlayan veya yanlış işlemler yaptıran yazılımlardır. Özellikle internet kullanımının yaygınlaşması ve bilgisayarlar arasında sürekli bir bağın olması (ağ) virüslerin yayılmasını da hızlandırmıştır. Her gün yeni bir takım virüs ortaya çıkmakta ve hızla yayılmaktadır.

Virüslerden korunmak amacıyla firmalar tarafından bir takım Anti-virüs yazılımları geliştirilmiştir. Bu yazılımları kolaylıkla temin etmek mümkündür. Ancak Anti-virüs programlarına da virüslere karşı tamamen güvenmek oldukça büyük bir yanılgı olacaktır. Çünkü Anti-virüs programları ancak o zamana kadar olan virüsler hakkında bilgi içereceklerdir. Yani sizin Anti-virüs programını makinenize yüklediğinizden sadece 5 dakika sonra yazılan ve makinenize girebilecek olan bir virüse karşı bu program hiç bir koruyucu rol oynamayacaktır. Bilgisayarınızı virüslerden korumanın ve bilgi ve zaman kaybını azaltmanın en iyi yolu, kullanacağınız Anti-virüs programlarının yanı sıra öncelikle virüslerin hangi yollarla bilgisayarınıza girdiğini öğrenmek ve ona göre genel bazı korunma tedbirleri almak olacaktır.

Bir Virüs Bilgisayara Hangi Yollardan Girer

* Temiz olduğundan emin olmadığımız disketlerden,
* Bir program yüklemek amacıyla kullandığımız CD lerden,
* Ağ komşularından bağlı olduğumuz virüslü bir bilgisayardan (ağ paylaşımı açık olduğu durumlarda)
* e-maillerden ve e-mail yoluyla almış olduğumuz dosyalardan,
* Çeşitli karşılıklı görüşme programları (mırc, ICQ) ve bunlar aracılığıyla alınan dosyalardan.

BİLGİSAYARA SALDIRI
Bilgisayara saldırı, çok kısaca bir kişinin bilgisayarına ondan izin almaksızın girmek ve bir takım işlemler(okuma, kayıt, silme gibi.) yapmaktır. Buna bilgisayar terimi olarak, makineyi hack etmekte denilmektedir. Bu işlemi yapanların çoğu zaman sadece zevk veya kendilerince bir şeyler ispat etme amacıyla yaptıkları gözlemlenmektedir.
İş yerinde veya evimizde kullandığımız bilgisayarlar çoğu zaman izinsiz olarak girilme denemeleri ile karşı karşıya kalmaktadır. Bu işlem için saldırgan bilgisayarın mutlaka kendi iş yerinizde olması gerekmemektedir. Mesela üniversitemizdeki bir bilgisayara dünyanın herhangi bir yerindeki internete bağlı bir bilgisayardan giriş yapılma ihtimali vardır. Bu giriş işlemleri için ise oldukça değişik yollar kullanılabilmektedir. Bu yolları kısaca maddeleyecek olursak;
* Bizzat kişinin, başkasına ait bir bilgisayarı habersiz bir şekilde başına geçip kullanması,
* Bilgisayara e-mail, chat programları, disket veya ağdan yararlanarak trojen adı verilen ve bilgisayara dışardan girilmesini kolaylaştıran programcıkların yüklenmesi suretiyle giriş. Trojen yollayan kişi çoğu zaman bunun bir resim olduğunu veya işe yarar bir dosya olduğunu söyleyerek kişiyi kandırma yoluna gider.
* Ağda verilen paylaşımlardan yararlanarak bilgisayara giriş. Çoğu zaman kişiler ağda arkadaşları veya kendileri başka bir makineden ulaşsın diye klasörlere veya harddiskin tamamına paylaşım verirler. Özellikle bu paylaşımlar parolasız olduğunda gerek visürler gerekse bilgisayara saldırmak isteyen bir kişi için kolay hedef olurlar. Hatta çoğu zaman parolalı verilen paylaşımlar bile bazı yardımcı programlar ile bulunabilmekte ve bilgisayara girilebilmektedir.
* Çoğu zaman güvenirliği bilinmeyen web sayfalarında dolaşmak bile bilgisayarımıza trojen tipinde bilgisayarımızın güvenliğini tehlikeye atacak program parçacıklarının yerleşmesine neden olabilmektedir.
BİLGİSAYAR GÜVENLİĞİ İÇİN ALINMASI GEREKEN BAZI ÖNLEMLER
Gerek virüsler gerekse bilgisayar saldırıları konusunda yapılması gereken bir çok şey vardır. Öncelikle bilgisayar kullanıcılarının artık bu kavramları yeterince bilen bilinçli kullanıcılar olmaları gerekmektedir. Bu kısımda bilgisayar güvenliği konusunda (virüs ve saldırılara karşı) yapılması gereken bazı temel noktalar sıralanacaktır. Tabiki virüs veya saldırının şekline göre daha teknik önlemlerde mevcuttur.

* İyi bir Anti-virüs programı yüklenmesi ve bunun düzenli bir şekilde update edilmesi,
* Kullandığımız bilgisayarda gelişi güzel her disketin kullanılmaması,
* İşimize yarayacağını kesin olarak bilmediğimiz, güvenilir olmayan kişilerden aldığımız CD’leri kullanmamak ve bunlardaki programları yüklememek,
* Ağ komşularına hiç bir zaman tam paylaşım vermemek. Paylaşım verilmesi gerekiyorsa mutlaka parolaya bağlı paylaşım verilmesi. İş bitince mutlaka paylaşımın kaldırılması. Paylaşım esnasında virüs ve trojen açısından güvenirliğine emin olmadığımız bilgisayarlardan veri transferi yapmamak.
* Tanımadığımız kişilerden gelen e-mailleri gerekirse hiç açmamak, tanıdıklarımızdan gelenlerden ise özellikle dosya eki varsa dikkatli davranmak. Özellikle sonu exe olan dosyalara karşı temkinli davranmak.
* Mırc, ICQ benzeri programlarda tanımadığımız veya tam olarak güvenmediğimiz kişilerden kesinlikle dosya transferi yapmamak,
* Bilgisayarımızda kullandığımız programlara ait şifreler varsa bunlarda kesinlikle kaydedilir şekilde bırakmamak. Mesela ICQ, Outlookexpres gibi programlarda şifreyi kalıcı yapmayın. Bu programlar ancak size şifre sorularak kullanılır olsun. Ayrıca kısa zaman aralıklarıyla bu şifreleri değiştirmek.
* Güvenlik açısından oldukça önem taşıyan bilgisayarları gerekli olmadıkça ağa ve internete bağlamamak.
* Bilgisayarımıza dışardan saldırı olduğunu anladığımız durumlarda ilk tedbir olarak varsa paylaşımları kapamak, ethernet kartından internet bağlantı kablosunu çekmek.

Yazar: | Kategori: Genel
Yorum: 0

http://www.securitymetrics.com/portscan.adp

Bu siteye girip bilgisayarınızdaki açık portları tarayabilirsiniz Çıkan sitedeki sağdaki Home Office/Personal Firewall Test altında bulunan linke tıklayın

Sitede Portlarınız durumunu gösteren kelimelerin anlamları:

Stealth:Bir gizli işlemci portu durumu.. bilgisayar portu durumunuzun süzüldüğü anl***** gelir. portunuz açık ya da kapalı olsaydı serversimiz karar veremezdi. Bu değerlendiren en iyi durumdur..(Portlarınızın koruması iyi)
Closed: Port durumunuz süzülmez. Saldırganlar
bilgisayarınızı analiz edebilirler. (Saldırılarda korumanız yetersiz)
Open :Port durumunuz süzülmez ve açıktır. Bu tehlikelidir. Detaylı bilgiyi edinin. Bilgisayarınıza erişmek için bir saldırı içinde bulunanlara açıktır. Bu durumu siz temin ediyorsunuz saldırılara.(Durum Vahim)

Yazar: | Kategori: Genel
Yorum: 0

 

Bu dökümanda bazı saldırı teknikleri hakkında bilgi sahibi olarak bu saldırılara karşı ne gibi korunma önlemleri alacağınızı öğrenebilirsiniz.

1.a Fingerprinting

Fingerprinting tanımı aslında karşı taraf hakkında bilgi toplamaktan ibarettir.Bir saldırı yöntemi değildir sadece karşı sistem hakkında bilgi verir ve saldırı için doğru seçimlerin yapılmasına olanak sağlar.Çalışan işletim sistemi, çalışan programlar işletim sistemi versiyonu gibi bilgiler sayesinde karşı sistemin güvenlik açıkları kolayca tespit edilip saldırı uygulanabilir.Bir çok çeşidi ve yöntemi vardır.En basit örneği , FTP Server’larından vermek mümkündür.FTP formatına göre karşı tarafa gönderilen “SYST” mesajı karşı tarafın işletim sistemi hakkında bilgi verir.Örneğin; anonymous olarak ftp.sau.edu.tr adresine bağlanıp, command ekranına SYST yazılırsa sonuç aşağıdaki gibi olacaktır :

Connected to ftp.sau.edu.tr

SYST
215 UNIX Type: L8
Host Type (S): UNIX Standart

Bu sayede karşı tarafta UNIX Standart yüklü bir makinenin olduğu tespit edildi.Bunun dışında telnet aracılığıyla bağlandığımız bir sistem direkt olarak bize işletim sistemini verebilir.Çoğu işletim sistemi üreticisi günümüzde bu bilgiyi telnet üzerinden otomatik olarak vermeye ayarlıyor ve çoğu sistem yöneticisi de bunları kapatmıyor.Aşağıda küçük bir örnek var:

playground~> telnet hpux.u-aizu.ac.jp
Trying 163.143.103.12 …
Connected to hpux.u-aizu.ac.jp.
Escape character is ‘^]’.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Görüldüğü gibi yaptığımız tek şey telnet aracılığı ile karşı tarafa bağlanmaktı.Sistem bize işletim sistemini versiyon numarasına kadar verdi.Bu yöntemlerin dışında birde http Fingerprinting adı verilen ve adından da anlaşılabileceği gibi http protokolünü kullanan bir yöntem daha var.Bu yöntemde “http” ’de tanımlı “GET” metodunu kullanarak Web Server’ın ne olduğunu öğreniyoruz:

playground> echo ‘GET / HTTP/1.0\n’ | nc hotbot.com 80 | egrep ‘^Server:’
Server: Microsoft-IIS/4.0

IIS Web Server kurulu bir sistemde hangi işletim sisteminin yüklü olduğunu tahmin etmek pek zor değil.Bu anlatılan yöntemlerden farklı olarak daha alt seviye bazı yöntemler de mevcut.Bu yöntemler TCP/IP protokolünün işletim sistemleri arasındaki küçük farklarından yararlanarak amacına ulaşıyor.Aşağıda bunlardan bazılarını inceleyelim:

The FIN Probe: Bu teknikte karşı tarafın açık bir portuna bir FIN paketi yolluyoruz(Yani FIN kontrol biti bir olan herhangi bir paket).RFC 973 standart’ına göre karşı tarafın bu pakete hiçbir karşılık vermemesi gerekirken, MS Windows, BSDI, CISCO, HP/UX, MVS, IRIX gibi işletim sistemleri geriye RST paketi yollarlar.Günümüzde bir çok Fingerprinting aracı bu yöntemi kullanmaktadır.

TCP ISN Sampling: Bu teknik işletim sistemlerinin TCP/IP stack’lerinin “initial sequnce number”’ları (ISN) seçme özelliğinden faydalanıyor.Hatırlayacağınız gibi TCP/IP’de bir bağlantı kurulduğu zaman iki tarafta da byte akışının doğru sağlanması için sequence number’lar kullanılıyordu.Her yeni paket için de x kadar arttırılıyordu.Bu yöntemde işletim sistemlerini kategorize edersek: “Random Increments”, “True Random” ve “Time dependant model” olarak üçe ayırabiliriz.İlk modelde iki bağlantı için belirlenen seq. Number’lar arasındaki x artış miktarı her paket için random olarak seçilir ve sürekli bir öncekiyle toplanır.Solaris, IRIX, FreeBSD, Digital UNIX, Cray gibi işletim sistemleri ISN üretmede bu modeli kullanmaktadır.İkinci modelde ise iki bağlantının seq. Number’ları arasında hiçbir bağıntı yoktur, birbirlerinden tamamen bağımsızdırlar.Bu modeli kullanan sistemler arasında Linux 2.0.x Open VMS gibi sistemleri sayabiliriz.Üçüncü modelde ise ISN ‘ler belli bir zaman aralığında sabit bir sayıyla toplanarak elde edilirler.Windows bu üçüncü modeli kullanan bir yapıya sahiptir.

TCP TimeStamp: TCP başlığı içinde yer alan bu bilgiyi işletim sistemleri farklı işlerler.Bazıları bu özelliği desteklemez, bazıları ise belirli peryodlarla bu değeri arttırırlar.Bazı işletim sistemleri ise hep 0 döndürür.

TCP Initial Window:Bu teknikte karşı sistemden dönen paketlerin “Window Size”’ları kontrol edilir ve buna göre değerlendirme yapılır.Bu değerlendirme önemlidir çünkü çoğu işletim sistemi bu değer için sabit bir sayı kullanır.Örneğin AIX işletim sistemi Window Size değeri için hex değer olarak $3F25 sayısını kullanır.Aynı şekilde FreeBSD, OpenBSD ve Windows NT işletim sistemleri bu sayıyı $402E olarak belirlemişlerdir.

ICMP Message Quoting:Bu teknikte ICMP protokolünün “port unreachable” hatasından faydalanıyoruz.Bu hata karşı tarafa bir ICMP paketi gönderildiği ve bu port açık olmadığı zaman geri gelen bir hata mesajıdır.Çoğu sistem IP Header + 8 Byte geri gönderir.Fakat Solaris işletim sistemi 8 Byte’dan daha fazla gönderir, Linux ise Solaris’ten daha fazla gönderir.

Type Of Service:ICMP protokolünde alınan bir port unreachable paketinin ToS değeri incelenirse, bu değerin her işletim sisteminde 0, bir tek Linux’ta $0C olduğu görülmüştür.

TCP Options: TCP paket başlığında “TCP Options” değerini kullanarak işletim sistemi tahmini yapmaktır.Bu yöntemin bir çok avantajı vardır bunlardan birkaçını sıralarsak:

i) Her şeyden önce bu kısım isteğe bağlıdır yani birçok işletim sistemi bu değeri gözardı eder.

ii) Eğer bir Option ayarlayarak karşı makineye gönderirseniz, karşı sistemin cevabı o option’ ın desteklenip desteklenmediğini gösterecektir.Bu Option’lar da her işletim sistemine göre değişeceği için bu da bize avantaj sağlar.

iii) Bir çok Option’ı ayarlayıp sadece bir paket göndererek, cevap alabilirsiniz.Yani tek bir paketle karşı tarafın hangi Option’ ları desteklediğini kolayca anlayabilirsiniz.

WindowScale, NOP, Max Segment Size, TimeStamp TCP Options’ın alabileceği değerlerin bazılarıdır.Örneğin bu sayılan özelliklerin hepsi FreeBSD tarafından desteklenmektedir.Bunun yanında Linux 2.0.x sürümleri yukarıdakilerin çok azını destekler.İki işletim sistemi aynı Option özellikleri desteklese bile bunlara verdiği cevaplar faklıdır.Örneğin bir Linux sistemine küçük bir MSS(Max Segment Size) değeri gönderilirse, sistem aynı değeri bize geri gönderecektir.Geri dönen değerler aynı olsa bile sıraları faklıdır.Örneğin Solaris “MSS” değerine “NNTNWME” ile cevap verirken Linux 2.1.122 “MENNTNW” ile cevap verir

1.b Port Scanning

Port Scanning (Port Tarama) adı verilen yöntemde karşı taraf hakkında bilgi toplamayla alakalı bir işlemdir.Bu işlemde aynı Fingerprinting gibi protokol formatına dayanır ve karşı sistemde açık olan portları bulmamızı sağlar.Bu sayede Fingerprinting ’ten elde edemediğimiz bilgileri bulabiliriz.Örneğin karşı tarafın 135 no’lu portu açıksa muhtemel bir Windows İşletim sistemiyle karşı karşıya olduğumuzu varsayabiliriz.Yada bir başka örnek olarak karşı tarafta eğer 80’inci port açıksa bu makinenın da bir HTTP Server olduğunu varsayabiliriz.Port Tarama yönetimde bilgi toplama portların ne işe yaradıklarını ve genel kullanımlarını bilmekle alakalıdır.Bu şekilde karşı sistemin zayıflıkları bile bulunabilir.Aşağıda kendi makinemde denediğim Port tarama işleminin sonuçları görünmekte :

Scanning 127.0.0.1 (localhost), range : 1 -135

[110] Service found at: 110

[110] Could be: pop3

[110] Read:

[135] Service found at: 135

[135] Could be: epmap

[135] No data to read.

Burada kendi makinemde 1 ile 135’inci portlar arasında yaptığım port taraması sonuçları görülmekte.Görüldüğü gibi makinemde 110 ve 135’inci portlar açık durumda bu portların işlevleri ise sırasıyla “pop3” ve “epmap” olarak adlandırılmış.Başka birisi bende port taraması yapıp bu sonuçları aldığında makinemde muhtemel olarak Windows yüklü olduğunu kolayca anlayabilir.Bu örnekteki port tarama işlemi basit olarak şöyle bir senaryoyla anlatılabilir: Belli bir IP adresinin her portuna bağlantı isteği gönderilir.Eğer bağlantı gerçekleşirse port açık, gerçekleşmezse port kapalıdır diyebiliriz.

1.b.a Stealth SYN scan

Port Tarama işleminden bahsettik fakat bu işlemin alt seviyede nasıl yapıldığından sözetmedik.Bu sistem, karşı tarafın istenilen port aralığına bağlanma istekleri göndererek çalışır.Şimdi eski bilgilerimizi tekrar hatırlarsak TCP/IP protokolünde bir TCP bağlantısının gerçekleşmesi için 3 yollu el sıkışma olduğunu biliyoruz.Bu el sıkışmada bağlantı isteyen makine server’a bir SYN paketi gönderir.Bağlantı uygunsa server’da bu makineye bir SYN+ACK paketi yollar.Son olarak ta makine server’a bir ACK paketi yollar ve bağlantı kurulurdu.Stealth SYN Scan tipinde port tarama işlemlerinde son ACK paketi dikkate alınmaz, yani server ‘dan SYN+ACK paketi alındığında, o portun açık olduğu varsayılır ve bu şekilde tarama işlemi hızlandırılır.Bu saldırı yönteminden korunmak neredeyse imkansızdır.Fakat bazı paket filtreleme donanım yada yazılımları sayesinde gelen paketler incelenir ve SYN paketleri hep aynı IP adresinden geliyorsa bloke edilir.Aşağıda nmap adlı bir port scanner programının lokal ağda yaptığı bir taramanın sonuçları yer alıyor:C:\osmanatabey\nmap-3.75-win32>nmap -v -sS 10.0.0.21

Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2005-01-02 22:18 GTB Standard Time

Initiating SYN Stealth Scan against T1000 (10.0.0.21) [1663 ports] at 22:18

Discovered open port 3389/tcp on 10.0.0.21

Discovered open port 139/tcp on 10.0.0.21

Discovered open port 445/tcp on 10.0.0.21

Discovered open port 1025/tcp on 10.0.0.21

Discovered open port 135/tcp on 10.0.0.21

The SYN Stealth Scan took 1.47s to scan 1663 total ports.

Host T1000 (10.0.0.21) appears to be up … good.

Interesting ports on T1000 (10.0.0.21):

(The 1658 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

1025/tcp open NFS-or-IIS

3389/tcp open ms-term-serv

MAC Address: 00:50:FC:A0:26:AB (Edimax Technology CO.)

Nmap run completed — 1 IP address (1 host up) scanned in 1.969 seconds

Görüldüğü gibi SYN Scanning lokal ağda 1.5 saniye gibi kısa bir sürede 1600 port taradık.Aynı işlemi normal adi port scanner’la yaptığımızda sonuçları elde etmemiz 3 dakika sürdü.Dikkat edilirse port tarama işlemi bittikten sonra bir de açık portların görevleri gösterildi.Bu sayede karşı tarafta hangi işletim sisteminin yüklü olduğunu tahmin edebiliriz.

1.b.b FIN Scanning

FIN Scanning’te Stealth SYN Scan mantığına dayanır.Karşı tarafa bir FIN paketi gönderilir.Bu paket TCP/IP protokolünde bağlantının bittiğini haber veren mesajdır.Eğer biz bağlı olmadığımız bir adresin herhangi bir portuna FIN paketi yollarsak ve eğer o port kapalıysa bir RST paketi geri döner.İşte bu sayede port kontrolü yapabiliyoruz.Fakat bu yöntem Windows işletim sistemi yüklü makineler için geçersizdir.Çünkü Windows yollanan her FIN paketine RST cevabını verir, port açık olsa da olmasa da.Her neyse aslında bu tarama yönteminin ortaya çıkış nedeni “SYN Scan” port tarama yönteminin bir çok paket filtreleme programı tarafından engellenmesi sonucu ortaya çıkmıştır.İlk kez Uriel Maimon tarafından Phrack 49, Article 15 ‘ te anlatılmıştır.Bu yöntem de günümüzde paket filtreleme programları tarafından engellenebildiği için hacker’ lar da değişik sistemler üzerinde değişik tarama işlemleri gerçekleştirmeye başlamışlardır.”XMAS Scan” ve “NULL Scan” adı verilen iki tip tarama yöntemi daha mevcuttur.XMAS yönteminde tıpkı bir Noel Ağacının her tarafının ışıl ışıl parlaması gibi, bir TCP paketinin bütün kontrol bitlerini etkin duruma getirir.Bu şekilde cevapları inceleyerek tarama işlemini yapar.NULL tarama metodunda ise XMAS ’ın tam tersi olarak tüm kontrol bitlerini etkisiz duruma getirir.Her neyse her iki metotta da karşı sistemin işletim sistemi paket cevaplarının incelenmesinde kilit rol oynar.

1.b.c Fragmented Packet Scanning

Bu tarama metodu, paket filtreleme programları tarafından engellenmesi en güç olandır.Çünkü bu metotta TCP Başlıkları da kendi içinde parçalara ayrılarak karşı tarafa gönderilir.Bu sayede paket filtreleme programı tüm TCP başlığını göremediği için filtreleme işlemini yapamayacaktır.Ancak yine de bu tarama metoduna da dayanıklı sistemler mevcut:Örneğin Linux sürümlerinde CONFIG_IP_ALWAYS_DEFRAG özelliği sayesinde, herhangi bir başlık tamamen oluşturulmadan cevap gönderilmez, paket işlenmez, yani bir nevi kuyruk oluşturur.Fakat çoğu ağ yöneticisi bu özelliği kullanmaz, çünkü ağ trafiğini yavaşlatır.Günümüzde çoğu port tarayıcı program bu yöntemi kullanmaktadır.

1.c Network Sniffing

Network Sniffing adı verilen yöntem ağda dolaşan paketlerin görüntülenmesi, ve kaydedilmesine olanak sağlayan bir yöntemdir.Bilindiği gibi çoğu yerel ağ sisteminin (LAN) temelini Ethernet oluşturmaktadır.Ethernet ilk tasarlanırken mühendisler kendi protokollerini test etmek için sniffer programlarını kullanıyorlardı.Fakat günümüzde Network Sniffing genellikle kötü amaçlara hizmet ediyor.Ethernet protokolü veriyi olduğu gibi gönderir, yani veriye herhangi bir şifreleme uygulamaz.İşte bu aşamada Sniffing daha da kolaylaşır.Ayrıca Ethernet protokolü gönderilen bu şifrelenmemiş veriyi bağlı olan tüm düğümlere(node) gönderir.Yani aslında aynı non-switched bir LAN da birbirlerine bağlı iki bilgisayarın birbirlerinin ağ trafiğini incelemeleri, sadece NIC (Network Interface Card) bir değişikliğe bağlıdır.Bu değişikliğin uygulandığı bir NIC üzerine gelen tüm bilgiyi filtrelemeden alır.Yani bağlı olduğu tüm ağ trafiğini inceleyebilir.Bu duruma gelmiş bir NIC ‘e “promiscuous mode” ‘a geçmiş denilir.NIC farklı amaçlara hizmet etmesi için farklı filtreleme metotları vardır.

Unicast D estination Address ’ i NIC ’in kendi fiziksel adresi olan paketleri alır.

Broadcast : Destination Address ’i FF FF FF FF FF FF olan paketleri alır.Bu paketler ağ üzerindeki tüm düğümlere gönderilmek amacıyla oluşturulmuştur.

Multicast : Belirli bir adres veya adres aralığından gelen paketleri kabul eder.Bu adres aralığı NIC ‘in içinde tanımlanmıştır.Ayrıca bir paketin multicast özeliği taşıması için paketin grup bitinin aktif olması gerekir.Yani bir gruba ait olduğunu gösteren bit.Bu biti aktif olanlar NIC ‘ teki listeyle kontrol edilir.

All Multicast :Herhangi bir gruba bağlı yani grup biti aktif tüm paketler NIC tarafından kabul edilir.

Promiscuous : NIC gelen bütün veriyi alır.

Non-switched ağlarda “Packet Sniffing” oldukça kolay.Çünkü filtreleme işlemi NIC ‘ te yapıldığı için bu filtreleme işlemini değiştirme imkanımız var.Switched ağlarda ise durum biraz farklı.Switched ağlarda bahsedilen filtreleme işlemleri, switch yada router ‘ de yapılır.Yani gelen paket hangi adrese gidecekse o adrese yollanır.Switch o adresin nerede olduğunu bilir ve paketi o adrese yollar.

1.d DoS (Denial of Service)

DoS saldırıları günümüzde en yaygın kullanılan saldırı biçimlerinden biridir.Çünkü bir çok saldırı yöntemini içinde barındırır.DoS saldırıları genelde bir ağa ya da kaynağa ulaşımı engellemek için kullanılır.Kendi içinde mantıksal olarak ikiye ayırmak mümkündür: Program tabanlı DoS saldırıları ve Network tabanlı DoS saldırıları.Bu iki saldırıda da iki yöntem kullanılabilir birisi “flooding” diğeri “exploiting”.Flooding’te kullanıcı kurbana çok sayıda paket yollayarak belli bir işlemi çalışamaz duruma getirir.Exploiting yönteminde ise kurbanda çalışan herhangi bir program hedef alınıp bu programın açıklarından faydalanarak program, kullanılamaz hale gelir.Şimdi DoS saldırılarını kısa bilgilerle inceleyelim.

1.d.a DDoS Flooding

Bir makineye yada ağa DDoS saldırısı yapabilmek için bir kişi önceden kendine bir çok kurban makine bulup onlara kendi hazırladığı küçük bir programcık yükler(deamon).Bu programcık bu makinelerde sürekli bu kişiden bir istek bekler.Bu kişi istediği zaman bu programcıkları da kullanarak aynı anda binlerce paketi hedef sisteme yollayabilir.Bu paketler genelde ICMP Echo request yada UDP Echo gibi masum görünen ve sadece basit işlemler için tasarlanmış paketler olabilir.Ama aynı anda binlercesi gelince bu hedef sistemin ağ trafiğinin durmasına ve hatta programların çalışamaz hale gelmesine sebep olabilir.Bu saldırı sisteminden www.yahoo.com gibi siteler bile etkilenmiştir.Günümüzde hala önemini korumaktadır ve paket filtreleyici yazılımları veya donanımlarıyla fark edilememektedir.Akıllıca yapılmış bir DDoS saldırısı farklı IP adreslerinden geleceği için filtreleyici programı şaşırtabilir.Ama çoğu sistem bu tür saldırılara karşı önlemini almıştır.

1.d.b The Ping of Death

Artık günümüzde neredeyse bütün işletim sistemleri bu tür bir saldırıya karşı önlemini aldıysa da zamanında çok etkili bir yöntemdi.Bu yöntemin mantığı şöyle çalışır: ICMP protokolü ağda bilgisayarların hata mesajlarını birbirlerine göndermesini yada “Ping” gibi basit işlemlerin yapılmasını sağlar.ICMP spesifikasyonunda, ICMP Echo request’lerin data kısmı 216 ile 65,536 byte arasında olmak zorundadır.Eğer bu veri sınırlarının dışına taşmış bir paket kurban sisteme yollanırsa işletim sistemi böyle bir şey beklemediği için çalışamaz duruma gelecektir.

1.d.c TearDrop

Bu saldırı yöntemi biraz karışıktır ve IP paketlerinin reassembly yapılmasıyla ilgilidir.Bir IP paketi karşı tarafa yollandığında bu paket tekrar verilere ayrılırken paketin içinde bulunan “offset” bilgisi kullanılır.Bu “offset” bilgilerinin birbirleriyle çakışmaması yani üst üste gelmemesi lazımdır.Özel ayarlanmış bir paket bu senkronizasyonu bozabilir ve paketler üst üste gelirse ve bunu kontrol edebilecek bir mekanizma da mevcut değilse bu işletim sistemini çalışmaz duruma getirebilir.Bu saldırı yönteminden korunma yöntemi IP protokülünün kodlanması ile ilgili olduğundan tamamen işletim sistemi ile alakalıdır.Günümüzde çoğu işletim sistemi bu tür saldırılara karşı dayanıklıdır.

1.d.d Ping Flood

“Flooding” adı verilen olay aslında bir işlemin bir çok kere tekrarlanması demektir.Flooding saldırılarında amaç programa hata verdirmek değil programı işlemez duruma sokmaktır, yani kaldırabileceğinden daha fazla işlem emri vermektir.Daha önce aynı DDoS flooding’te olduğu gibi bu saldırı yönteminde de karşı sisteme binlerce paket yollanır ve bu paketler karşı tarafın ağ trafiğinin akışını durdurabilir.Bu paketler karşı sistemle aramızdaki hızı ölçmeye yarayan ping komutundan başka bir şey değildir.Ama bunlardan binlercesi sistemde ciddi ağ trafiğine yol açar ve kullanılamaz hale gelir.Bu saldırı yönteminde zekice bir taraf yoktur, sadece internet hızı yüksek olan bir sistem daha düşük olan bir sistemin ağ trafiğini kitleyebilir.Günümüzde çoğu sistem bu tür bir sadırıya korunmalıdır.Filtreleme programları bu sadırıları kolaylıkla engeller.Aşağıda örnek bir ping komutu ve sonuçları görünmektedir:

C:\ping www.google.com

Pinging www.google.akadns.net [66.102.11.104] with 32 bytes of data:

Reply from 66.102.11.104: bytes=32 time=119ms TTL=242
Reply from 66.102.11.104: bytes=32 time=126ms TTL=242
Reply from 66.102.11.104: bytes=32 time=165ms TTL=242
Reply from 66.102.11.104: bytes=32 time=178ms TTL=242

Ping statistics for 66.102.11.104:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 119ms, Maximum = 178ms, Average = 147ms

1.d.e SYN Flooding

TCP/IP “stack” denilen bir bölgede tüm bağlantıları tutar.Tekrar eski bilgilerimize dönersek üç yollu el sıkışmadan hatırlayacağımız gibi SYN paketine cevap olarak SYN/ACK gönderiliyordu daha sonra biz tekrar ACK gönderiyorduk ve bağlantı kuruluyordu.Şimdi şöyle bir senaryo düşünelim:Bir kişi bir server’a SYN paketi gönderiyor fakat bu paketin özelliği içindeki “Source ip” kısmı bizim IP adresimizi göstermiyor, tam tersine aslında gerçekte varolmayan bir IP adresini gösteriyor.Bu noktada server bu SYN paketini alıp bağlantı işleminin aslında varolmayan IP adresiyle gerçekleşmesi için bu IP adresine SYN+ACK gönderiyor ve ACK almak için bekliyor.Bu bekleme sırasında IP adresi TCP/IP’nin stack’inde tutuluyor ve biz sürekli bu aslında varolmayan IP adresinden bu sisteme SYN paketleri yolluyoruz.IP adresinde hiçbir sistem varolmadığı için asla ACK paketi gelmiyor sonuçta belli bir süre sonra kurbanın TCP/IP stack’i taşıyor ve ağ trafiği neredeyse işlemez hale geliyor.Bu saldırı yönteminden de korunmak için yine basit bir paket filtreleme sayesinde mümkündür.

1.d.f Buffer Overflow

Buffer Overflow dediğimiz şey hatalı kodlanmış bir programın dışarıdan bir etkiyle belleğinin taşmasına neden olmaktır.Daha açarsak sınır kontrolü yapılmamış bir değişkenine alabileceğinden daha fazla veri atanırsa program bellek hatası verir ve bu hatayı kullanarak özel olarak hazırlanmış bazı kodlar sayesinde programın akışı değiştirilebilir.Bunun en güzel örneklerinden biri daha 1.5 seneyi doldurmamış Sasser Solucanıdır.Bu solucan Windows işletim sisteminde sürekli çalışan LSASS.EXE adlı dosyada bulunan bir Buffer Overflow hatası sayesinde milyonlarca makinaya bulaşabildi.

Bu LSASS.exe ‘nin asıl görevi (Local Security Authentication Server) Windows un kulanıcı işlemlerinin güvenliğini sağlamak ve kullanıcı izinlerini düzenlemekti.Fakat Windows 2000 ve Xp yüklü makinelerde bu dosyanın kullandığı bir DLL dosyasında Buffer Overflow tesbit edildi.( (LSASRV.DLL).Bu sayede virüs 445’inci porta bağlanıp, programa istediği işlemleri yaptırıyordu.Daha sonra da LSASS.EXE kapatılıyordu ve 1 dakika içinde de server ‘ a reset atılıyordu.

Kısacası “Buffer Overflow Exploiting” bir programdaki programlama hatalarını kullanarak o programın değişkenlerine ve program akışına dışarıdan erişmeye denir.

Bu tür bir saldırı yöntemini engellemenin iki çeşit yolu olduğunu söleyebiliriz:Birincisi eğer programı geliştiren firma yada kişi bizsek Buffer Overflow hatalarını engellemek için alt seviye bellek fonksiyonlarından ve sınır kontrolü yapmayan değişken işlemlerinden olabildiğince kaçınmalıyız.Örneğin C dilinde, iki string tipinde değişkeni birbirine kopyalamak için kullanılan “strcpy()” fonksiyonu bu tür buffer overflow hatalarına gebedir.Çünkü birinci string’i ikinci string’e kopyalar fakat sınır kontrolü yapmaz.Yani eğer biz değişkenlerden herhangi birinin büyüklüğünü statik olarak girmişsek bu programda bellek taşmasına yol açacaktır.Örneğin aşağıdaki C programında çok basit bir buffer overflow görülmektedir:

int main(int argc, char *argv[])
{
char Buffer1[4];
char * Buffer2;
Buffer2 = “AAAAOverFlow”;
strcpy(Buffer2,Buffer1); // işte tam burada Buffer Overflow mevcuttur.
return 0;
}

Kodda görüldüğü gibi ilk 4 byte ’ tan sonra yazılan “OverFlow” kelimesi tam anlamını yansıtmaktadır.Bu pogram çalıştığında Buffer Overrun hatası verecektir.Ama OverFlow sözcüğü program stack ’ inin kritik kısımlarını etkileyecektir.

1.e TCP/IP Hijacking

TCP/IP Hijacking bir A sisteminin B sistemi ile C sistemi arasında kurulan bağlantıya sızarak kendini C sistemine B sistemi olarak göstermesi demektir.Peki bu iş nasıl yapılır?Öncelikle şunu söylemeliyimki bu tür bir saldırı için network sniffing kullanılacağı için A sistemi ile B sistemi aynı ağ üzerinde olmalıdır.

Bilindiği gibi TCP güvenilir bir protokoldür.Güvenilirden kastım her paketin karşı tarafa ulaşıp ulaşmadığı kontrol edilir ve sonra gitmesi gereken paketin önce gitmesi gerekenden daha önce gitmesi gibi senkronizasyon problemlerinin aşılması için her pakete belli senkronizasyon numaraları verilir(“sequence number”).Bu numaralar sayesinde iletişimde bulunan iki program gelen giden paketleri sırasına göre alıp sırasına göre işleyebilir.Eğer A sistemi “network sniffing” sayesinde B sisteminini tüm gelen giden paketlerini incelerse, B sisteminin C sistemiyle olan bağlantısında o andaki “sequence number”’ını tahmin edebilir.Bu hesapladığı sequence number ve B sisteminin IP adresini source IP olarak kullanarak karşı tarafa bir paket yollarsa, C sistemi doğal olarak artık A sistemini B sistemi olarak algılayacaktır.Bu sırada B sistemi C sistemine bir paket gönderse bile aralarındaki senkronizasyon numaralarında hata oluştuğu için artık C sistemi B sistemini tanımaz.Bu çeşit bir saldırının engellenmesi imkansızdır.Yapabileceğiniz tek şey ağda bir sniffer olup olmadığını araştırmak olacaktır.(bkz.Network Sniffers)

1.e.a RST Hijacking

RST Hijacking iki sistem arasında kurulan bağlantıyı dışarıdan kesmek için kullanılır.Bilindiği gibi RST Kontrol Biti TCP başlığında tanımlı spesifik bir bittir.Bu kontrol bit’i 1 olduğu zaman iki sistem arasındaki bağlantı sona erer.Eğer biz doğru ayarlanmış bir paketi iki sitemden herhangi birine RST biti 1 olarak olarak gönderirsek iki sistem arasındaki bağlantıyı dışarıdan kesmiş oluruz.Burada dikkat edilecek nokta yine TCP Başlık formatında tanımlı “acknowledgement number” dediğimiz kısımdır.Bu 32 bitlik kısım, sistemin bir sonra alacağını varsaydığı paketin “sequence number”’ını içerir.(bkz.TCP Hijacking:Sequence Number).Eğer biz source ip kısmını iki sistemden birine ayarlayıp “acknowledgement number”’ıda bulabilirsek ve RST bitini de 1 olarak ayarlarsak, bu paketi alan sistem, bağlı olduğu diğer sistemin bağlantıyı kesmek istediğini sanarak bağlantıyı bitirecektir.Bu saldırı yönteminden de korunmak neredeyse imkansızdır.Fakat 32 bitlik bir sayıyı tahmin etmek imkansıza yakındır.Yani aynı TCP/IP Hijacking ‘te olduğu gibi, bu saldırının gerçekleşmesi için saldıranın kurban sistemle aynı ağda olup trafiği bir sniffer aracıyla izlemesi gerekmektedir.Bu noktada bu saldırıyı engellemenin tek yolu ağda sniffer kullanımını bloke etmekten geçer.

1.f Shattering (Mesajlaşma sistemi açıkları)

Bu saldırı yöntemi aslında çok yeni değildir fakat son günlerde hacker’ ların ilgisini biraz daha çekmiştir.Bu yöntemde Windows’un mesajlaşma sisteminin zayıflıklarından faydalanılır.Windows’ta daha önce API düzeyinde programlama ile uğraşan herkesin bileceği gibi Windows işletim sistemi mesajlaşma sistemi üzerine kurulmuştur.Bundan kastım, oluşturulan her kontrolün kendine özgü bir “handle”’ı vardır.Sistem bu “handle”’lar arasında giden mesajlar sayesinde işler.Örneğin Windows’ta bir düğmeye tıklandığında WM_LBUTTONDOWN mesajı bu düğmeyi içeren form’a gönderilir ve işlemler orada gerçekleşir.Bu şekilde binlerce mesaj aynı anda farklı programlarda işlenebilir.Fakat bu sistemin de bir takım zayıflıkları vardır.Windows bu mesajı gönderenin kim olduğuna bakmaz, yani daha açarsak, mesaj dışarıdan başka bir programla da rahatlıkla gönderilebilir.BU zayıflıkta diğer programın ilk programı kullanarak bazı haklar elde etmesine yol açabilir.Örneğin Microsoft’un Windows 2000 SP3’e kadar ürettiği Windows versiyonlarda WM_TIMER mesajı ile ilgili bu tür bir açık mevcuttu.Bu açık sayesinde kötü niyetli bir kişi başka bir programı kullanarak yetkisi dahilinde olmayan işlemleri gerçekleştirebiliyordu.Bu saldırı yöntemini birisinin gerçekleştirebilmesi için saldırıyı yapacağı makineyi kullanıyor olması gerekmektedir.Yani dışarıdan bir tehlikesi yoktur.Bu saldırı yöntemi ile bir kişi administrator yetkisi olmayan bir sistemde administrator yetkisini kolaylıkla kazanıp ağda bir takım değişikler yaparak o makinenin bağlı olduğu ağın tümünü kullanılmaz hale getirebilir.

Yazar: | Kategori: Genel
Yorum: 0

Yakın zamana kadar phishing (olta) saldırıları sadece e-mail yoluyla yapılmaktaydı. Ancak bu durum, yakın zamanda güvenlik lugatına vishing* gibi terimlerin girmesi ile değişti. Las Vegasta yapılan Black Hat Konferansındaki bir sunumda Güvenlik Araştırmacısı Jay Shulman, Digium’un Asterisk PBX’ini kullanarak bir phishing saldırısının nasıl gerçekleştirilebileceğini gösterdi.

Asterisk VoIP PBX projesi günümüzde belki de en çok bilinen ve en popüler olan açık kaynaklı VoIP projesi konumundadır.
Bu proje telefon kullanmak isteyen milyonlarca kişinin önündeki bir takım engelleri azaltmakta, ancak bu milyonlara paranızı veya kişisel bilgilerinizi çalmaya hevesli hackerlar da dahil.

Açık kaynaklı Asterisk projesi sayesinde, sesli aramalar aracılığı ile gerçekleştirilen phishing saldırılarının bütçeleri de değişti.

Shulman “Beş yıl önce böyle saldırılar için ticari bir sistem satın almanız gerekirdi, artık ortada bir açık kaynak oluşu bunu çok daha erişilebilir kılmakta,” diyor.

Shulman yaptığı sunumun, izleyicileri bu saldırılar için yüreklendirmemesi gerektiği konusunda da dikkatliydi.

Ben bu gereçlerin güçlerini göstermeye çalışıyorum, nasıl saldırı yapmanız gerektiğini değil.

diyor Shulman. Ancak yine de ses-temelli phishing saldırılarını gerçekleştirmek için birkaç farklı atak vektörünü tanımladı, örneklendirdi ve detaylandırdı.

Örneklerden birinde, kurbana bir e-mail gönderilerek saldırıyı gerçekleştiren kişinin daha önceden ayarladığı 1-800’lü bir numarayı araması istenmekte.
Hattın öteki ucunda (1-800’lü numaranın bulunduğu uç) gelen aramayı cevaplayan ve arayan kişiden hesap numarası ve posta kodu gibi tanımlayıcı bir takım bilgiler isteyen bir Asterisk PBX bulunmaktaydı. PBX aramayı kaydederken, bilgiler daha sonra kullanılmak üzere çağrı sonlandırılır.

Bir diğer saldırı yöntemi ise, kurbanın saldırgana ait bir 1-800’lü numarayı aradığı ortadaki adam saldırısı** tipinde bir yaklaşımdı.

Saldırganın PBX’i daha sonra bir yandan gizlice hatta kalarak bilgileri kaydederken diğer yandan aramayı gerçek bir müşteri servisi numarasına yönlendiriliyor.

Shulman bu tarz bir saldırının diğer türlere oranla çok daha el yordamı ile yapılan bir saldırı olduğunu ve bu yüzden saptanmasının zor olacağını belirtiyor.

Üçüncü saldırı yöntemi ise birinci ve ikinci yöntemlerin bir kombinasyonu.

Bu yöntemde kurban 1-800’lü numarayı arar, saldırganın PBX’i kişisel bilgilerin girilmesini ister ve arkasından aramayı gerçek bir müşteri servis operatörüne yönlendirir.

Shulman hasarın boyutunu arttırmak için saldırganın, kurbandan edindiği arayan numarayı PBX aracılığı ile tekrar arayarak verilen bilgilerin doğrulanması için kullanabileceğini belirtiyor. Shulman

Bu durum kurbanın bilgilerini vererek doğru bir şey yaptığı hissine kapılmasını sağlar oysa aslında oldukça yanlış bir şey yapmaktadır.

diye ekliyor. Sunumunun büyük bir bölümü Asterisk kullanılarak yapılan istismar tekniklerine ayrılmış olsa da, Shulman konuşmasının sonunda ses-tabanlı phishing saldırılarına nasıl engel olunabileceği konusunda da birkaç öneride de bulundu.
Kişilerin sadece banka veya kredi kartlarının arkasında yer alan 1-800’lü numaraları araması bu önerilerden birisiydi.

Finansal kurumların da bu konuda bir adım öne çıkarak kullanıcıları sesli aramalar yoluyla gerçekleştirilen phishing saldırılarının risklerine karşı uyarmaları ve eğitmeleri gerekiyor.

Shulman ayrıca çağrı merkezlerinin de arama esnasında, bir phishing istismarının söz konusu olmadığını teyit etmek için arayan kişiye hangi 1-800’lü numarayı aramakta olduklarını sormaları gerektiğini belirtti ve şunları söyledi;

Bu saldırının işe yarıyor olmasının tek nedeni, sosyal mühendisliğin*** de işe yarıyor oluşudur.

Bu saldırı yöntemi göreceli olarak hala yeni bir yöntem ancak yanlış numarayı arayarak zarar gören insanlar olduğunu da unutmamalı ve bir şeyler yapmalıyız.

*- Vishing : Voice Phishing (ses aracılığı ile gerçekleştirilen phishing saldırıları). Bu yöntemde sahtekarlar, çalınmış kimlik bilgileri ile sesli cevap sistemi kurmakta ve yerel VoIP telefon numaraları satın almaktalar.

**- Ortadaki adam (Man in the middle): Bu atak türü yapılan bağlantıların arasına girip iki tarafa da sanki karşıdaki kişi gibi davranmakla yada bir tarafı devre dışı bırakarak yapılır. Bu sayede mesela kendi şifresiyle şirketine evinden girmiş birinin bağlantısında araya girerek şirkete sanki o kişiymiş gibi davranarak şirket bilgilerine ulaşmak mümkündür. Şifreli bilgi transferi yapılmaması bu tür olaylara sebebiyet verebilir.

***- Sosyal Mühendislik (Social engineering): Sosyal mühendislik bir tiyatro oyununu andırmaktadır. Daha önceden yaratılmış bir senaryo etrafında, şirket ve çalışanlar hakkında bilgiler toplanır.

Örneğin telefonla şirketi arayıp acil bir durum olduğu ve sistemlerin çalışmadığı ve bazı bilgilerin gerekli olduğu belirtiliyor. Burada şirket çalışanlarının isimlerinin alınması bile şifrelerin kırılmasını çoğu yerde kolaylaştırmaktadır.

Artık en azından kullanıcı ismi (username) bilinmekte sadece şifrelerin bulunması kalmaktadır. Bu aşamada direk şifrelere yada daha kritik bilgilere dahi erişildiği durumlar olabilmektedir..

08 Eylül 2007
Yazar: | Kategori: Genel
Yorum: 0

Cookie

Casus programlardan bahsettik ama çokça adı geçen Cookie’lere de değinelim. Cookie (çerez), genellikle 1Kb civarında küçücük bir text dosyasıdır. Web siteleri, ziyaretçilerine daha iyi hizmet sunmak için geliştirmişlerdir. Örneğin, bir web sitesi kullanıcılarına özgü içerik sunmak isterse, (amazon. com’ daki gibi) en basit haliyle kullanıcının kaç kez kendisini ziyaret ettiğini bilmek isterse Cookie’lere başvurur. Ziyaretçi kendisine geldiğinde ona bir Cookie gönderir (buna Cookie Ziyaretçi diyelim) ve içine mesela ziyaret sayısı=1 yazar. Sonra, web sitesine gelenlerde Cookie Ziyaretçi adında bir dosya olup olmadığına bakar, varsa kendisini kaçıncı kez ziyaret ettiğini öğrenir ve mesela “Bizi 2. kez ziyaret ediyorsunuz” şeklinde bir bilgi sunar. Kullanıcı adı ve şifre ile girdiğiniz web sitelerinde size kolaylık olması için kullanılır. “Adınızı ve şifrenizi hatırlamamızı ister misiniz” sorusuna “evet” dediğinizde, bir text dosyasına adınız ve şifreniz yazılır ve size gönderilir. Tekrar o siteye bağlandığınızda bu dosyadan adınız ve şifreniz okunacağı için sizin tekrar girmeniz gerekmez. Cookie’lerin sadece text dosyaları olduğunu hatırlatalım. Casusluk için de kullanılabileceği iddialarını sık sık duyarsınız ancak Cookie’ler harddiskinizi okuyamaz, email adresiniz vb. bilgileri toplayamaz, en güzeli de Cookie’ler sadece size gönderen site tarafından okunabilecek şekilde (ReadOnly) tasarlanmıştır! Bu konu da daha çok bilgi almak isterseniz cookiecentral.com adresini ziyaret edebilirsiniz.

ADWARE

Adware programlar çalışırken allta, üstte ya da bir köşede ‘banner’ denilen reklamları sergiler. Program ana site ile bağlantılı olduğundan bu reklamlar değişkendir ve arada sırada bilgisayarınıza indirilir. Tanıdık bir örnek “NTVMSNBC Haber Geldi servisi” ya da ICQ’nun son versiyonu. Yukarıdaki örneklerdeki gibi programlar aslında casus program kategorisine girmez! Ama mesela hızlı program indirmek için kullanılan Gozilla ya da daha küçük ve gerçekten iyi bir yazılım olan Flash GET ya da diğer adı ile JetCAR yüklendiğinde, pek çok insanın nefretini üzerine çeken RADIATE programı da yükleniyor ve size ait demografik kullanım bilgilerini üretici firmaya gönderiyor. Radiate kullanıcı mahremiyetini ihlal ettiği gerekçesi ile mahkemelik oldu ve konuyla ilgili bir bildiri yayınlamak zorunda kaldı.

Yazar: | Kategori: Genel
Yorum: 0

FORWARD MAİL’İN TEHLİKELERİ

Her gün posta kutumuza onlarca “forward mail” geliyor. Sizler de bunları arkadaşlarınıza “forward”lıyorsunuz. Eğer bunlar olduğu gibi bir başkasına iletilirse ki, genellikle öyle oluyor, iletiyi gönderenin adresini de bir başkasına gönderilmiş oluyor. Bu forward mailler bilinçsizce bu şekilde başkasına iletildiği (forward’landığı) zaman, mail adreslerine yasa dışı reklamlar gönderen firmalar için çok iyi birer kaynak oluyor. Ayrıca bu şekildeki iletilerle (forward mailler) kişisel bilgilerinizin istediğiniz dışında yayılmasına, email adresinizin deşifre olmasına sebep oluyor. E mail adresinizin yayılması posta kutunuza ulaşmayı başaran virüs sayısını, spam sayısını arttırıyor. Posta kutunuzun da gereksiz bir sürü ticarı maillerle dolmasına neden oluyor.

Bunu önlemek için sizin ve iletiyi gönderdiğiniz kişilerin aşağıdaki yöntemi uygulamasında büyük yarar var.

DOĞRU İLETME (FORWARD) YÖNTEMİ

1- Size gelen iletiyi (iletinin en son okuduğunuz halini- çünkü bazen zarf zarf içinde geliyor- en son açtığınız zarfın açık halini) forward ya da ilet tuşuna bastıktan sonra iletide bulunan tüm adresleri silin. İletide gönderilmek istenilen mesaj dışında bir şey kalmasın. Böylece alıcınız iletiyi okumak için zarf üstüne zarf açmayacak, daha rahat okuyacak, iletiyi gönderenin de adresi yayılmayacak.

2- İletileri göndereceğiniz kişiler, bildiğiniz gibi üç farklı pencerede adresleniyor. Kime (to), Bilgi (cc) ve Gizli (BCC). İletileri göndereceğiniz adresleri Kime (to) ve Bilgi (cc) penceresine yazarsanız tüm alıcılar diğerlerinin adreslerini görür. Bu nedenle ileti göndereceğiniz kişileri kesinlikle gizli (BCC) kısmına yazın, böylece mail attığınız kişilerin birbirlerinin adresini görmesini engellersiniz. Eğer iletiyi gönderdiğiniz kişi bu yöntemi kullanmıyorsa, geldiği gibi adresleri silmeden iletiyorsa, hiç değilse sizin adresiniz dışında arkadaşlarınızın adresini korumuş olursunuz.

08 Eylül 2007
Yazar: | Kategori: Genel
Yorum: 0

Hex Editor 2.3

Üreticinin Açıklaması :
Hex Editor programı bir hexadecimal editörde bulunması gereken bir çok özelliği fazlasıyla barındırıyor. Programın diğer bir özelliğde file splitter olarak iş görmesi. Yani türkçesi ile dosyaları istediğiniz boyutlarda ve istediğiniz kadar parçaya bölmesi. Tabii programın esas amacı Hexadecimal editör kısaca Hex Editör sınıfında en iyilerden birisi.

www.hhdsoftware.com/Download/hexedfull.exe

Yukarı
Yazilar iin RSS aboneligi