Burada genel hatları ile hacking yöntemlerini inceleyeceğiz. Bir sistemin hacker için kırılmasının ne kadar kolay olduğunu göreceğiz. Bir hacker hiç iz bırakmadan başka birinin bilgisayarından tüm yasadışı işlemleri gerçekleştirebilir ve kişiyi haklılığını ispat edemez hale getirilebilir. Bunu yakınındaki biri, bilgisayarına erişim imkanı olan biri kolaylıkla yapabildiği gibi, tesadüfen de kişiyi seçebilir ve hedefi için bir kalkan yapabilir. Böylece mağdur suçsuz olsa da bunu ispat edemez. Şimdi bunları inceleyelim.

Ağ İzlemeHackerlar sızacakları sistemi öncelikle izlemeye alırlar. Bunun için kullanılan en önemli araçlarının başında sniffer dediğimiz araçlar gelmektedir. Bunlar bir bilgisayar üzerinden internet ortamına gönderilen her tür bilgiyi yakalayabilirler. Örneğin Gmail, Hotmail gibi servislere erişirken girdiğimiz kullanıcı adı ve şifrelere ulaşmak olasıdır veya herhangi birine yolladığımız e-postaların da içeriklerini okumak mümkündür. Snifferlar iki tür izleme yaparlar, aktif ve pasif izleme.

1. Pasif İzleme: İnternet ortamına genel olarak bir ağ üzerinden bağlanırız. Bu ağda kullanılan araçlar ucuz olduğu için hub dediğimiz network araçları kullanılır. Hublar, kendisine bağlı olan bilgisayarları adreslemezler, bu sebeple kendisine bağlanmış tüm cihazlara iletilmek istenen mesajlar iletilir (broadcast). Ethernet üzerinde bulunan CSMA/CD algoritması sayesinde her bilgisayar mesajın kendisine ait mi kontrolünü yapar ve eğer kendisine ait değilse mesajı yok eder; ama hackerlar bu algoritmayı devre dışı bırakarak tüm mesajları okuyabilirler.

2. Aktif İzleme: İnternet ortamına bağlanmak için bazen switch dediğimiz akıllı cihazlar kullanılır. Bu güvenlik için yapılır, çünkü switchler kendisine bağlanan bilgisayarların İP adreslerini (İnternet Protokol) ve Mac adreslerini (Ethernet üzerinde bulunan benzersiz bir kimlik numarası) saklar. Böylece kendisine gelen mesajı direk sahibine iletir, başka bilgisayara göndermez.

Hackerlar bu akıllı cihazları aşmak için Dsniff adı verilen yazılımı kullanırlar. Bu yazılımın içinde Macof adı verilen bir program bulunur. Macof, switch üzerine rastgele çok sayıda Mac adresi gönderir ve bombardımana tabi tutar. Switch kendine gelen tüm Mac adreslerini saklamak için kayıt açmaya başlar ve hafızası aşırı dolunca artık Mac adreslerini kontrol edemez hale gelir ve kendisine gelen mesajları her bilgisayar iletmeye başlar.

Sahte DNS EşleştirmeDNS nedir?Açılımı Domain Name System’dir. Bir isim çözümleme hizmetidir. Peki neden bir isim çözümleme servisine ihtiyaç duyarız? Bilgisayarlar diğer bilgisayar ve sunucular ile IP adresi kullanarak haberleşirler ve tüm veri alışverişleri IP adresleri yardımı ile yapılır. Web siteleri de sunucu adı verilen güçlü bilgisayarlar üzerinde çalışırlar. Dolayısıyla her web sitesinin bir IP adresi vardır. IP adresleri bizim bilgisayarlarımız web sitelerini çalıştırmak için bu IP adresi ile iletişim kurmalı. Fakat biz hiç bir zaman bir web sitesine bağlanacağımız zaman web tarayıcımıza http://77.79.75.27 gibi bir IP adresi yazarak erişmiyoruz. Bu pratikte çok mümkün olan bir şeyde değil. İnsanlar isimleri daha kolay öğrendikleri ve akılda daha kalıcı olduğu için her web sitesinin bir ismi yani Alan Adı (Domain Name) diğer bir deyişle URL adresi vardır. http://www.google.com gibi. İnsanlar isim, bilgisayarlar IP adreslerini kullandığı için bu 2 sistem arasındaki dönüşümü sağlayan servise Domain Name System (DNS) ismi verilir.

Sahte DNS eşleştirmek yada diğer adı ile DNS spoofing bilgi elde etmenin önemli yollarından biridir. Hackerlar ağı izlemeye aldıklarında DNS sorgulaması yapan paketleri yakalarlar. Mesela üye olduğunuz gmail mail servisine gitmek istediğinizde http://www.gmail.com adresini talep eder, bunu DNS’e iletirken hacker burada devreye girer ve DNS Spoofing programı ile sahte bir DNS adresi gönderir. Gerçek DNS’in gönderdiği bilgi ise kullanıcının bilgisayarı tarafından reddedilir, çünkü sahte DNS’ten istediği bilgiyi almıştır. Böylece kendisinin tasarladığı sahte bir giriş sayfasına yönlendimesi, şifrelerini çalması çok kolaydır. Daha sonra kullanıcıya tekrar deneme mesajını gönderir ve gerçek DNS devreye alınır. Böylece kullanıcı daha ne olduğunu anlamadan kullanıcı adı ve şifresi çalınmıştır.

SSL Saldırılarıİnternet ortamında bankacılık veya alışveriş işlemlerinde SSL kullanılmaktadır. SSL (Secure Socket Layer) çok güçlü bir şifreleme yaparak internet ortamına gönderilen bilgileri şifreler, böylece herkes gönderdiğiniz bilgiyi alsa bile çözümlemesi çok zor olduğu için bu bilgilere ulaşılamaz. Fakat hackerlar SSL üzerinden de saldırı düzenleyebilmektedir.

Bir banka adresine bağlandığınızda örneğin www.garanti.com adresine istek gönderdiğinizde bu istek güvensiz bir port olan 80 portuna gider ve sizi 443 nolu güvenli olan ve SSL için kullanılan alana yönlendirir ve size bir SSL sertifikası gönderir. Sizin bilgisayarınız sertifikadaki dijital imzayı onaylamaya çalışır. Zamanı geçmiş SSL için se size bir uyarı verir ve güvenli bağlantının olmadığını iletir. Bu normal SSL işlemidir.

Hackerlar yukarıda da bahsettiğimiz sahte DNS eşleştirme yolu ile bu bilgileri rahatlıkla çalabilirler. Olay şöyle gelişir:

Dsniff programını çalıştıran hacker hedef bilgisayardan banka adresi istendiğinde Dnsspoof programını devreye sokar ve kendi bilgisayarını DNS olarak tanıtır. Banka web adresi (örneğin www.garanti.com ) DNS’ten istendiğinde 80 ve 443 numaralı portları dinleyen Webmitm programı ile istekleri kendi üzerinden göndermeye başlar. Böylece hedef bilgisayar isteği Webmitm’e gönderir, webmitm ise iki taraflı bağlantı açar, hem hedef bilgisayar hem de bankanın gerçek sunucusu arasında köprü olur. Bu arada banka dijital imzalı SSL sertifikasını Webmitm’e gönderir, Webmitm ise sahte bir SSL sertifikası üretip hedef bilgisayara gönderir. Hedef bilgisayar sahte sertifikayı onaylamaz ve kullanıcıya bunu iletir; ama kullanıcılar bu mesajları çok önemsemez ve bildirimleri onaylayarak bağlanırlar. Böylece bankaya bağlanırken kullanacağı kimlik ve şifre bilgileri hackerın bilgisayarı üzerinden bankaya gönderilirler ve bilgileriniz ellerine geçmiş olur.

Bankalar artık anlık şifre uygulamasına geçmiş olsa da bu şifrenin en düşük 2 dakika zamanı vardır. Hackerın bilgisayarından bu şifre gönderildiği için 2 dakika zaman içerisinde rahatlıkla kişinin hesabına sızılabilir.

DSniff Yazılımının Diğer Önemli Programları Filesnarf: Switch veya Hublar üzerinden gönderilen tüm dosyaları çalabilir. Bunlara passwd

dediğimiz şifrelerin de tutulduğu dosyalarda dahildir.

Mailsnarf: Bu programla SMTP (E-posta gönderen protokol) ve POP3 (E-posta alan protokol) bağlantılardaki tüm e-postaları çalabilir, çaldığı mesajları saklar ve okunabilir bir formatta açabilir.

Msgnarf: Yahoo Messenger, IRC, ICQ gibi sohbet programlarında yazılan tüm mesajları çalabilir ve saklayabilir. Ayrıca tanımlanan anahtar kelimeleri tarayıp yalnız istenen bilgilerin de çalınması sağlanabilir.

Urlsnarf: Kullanıcının girdiği tüm web adreslerini çalar. WebSpy: Kullanıcının girdiği web sitesini kendi bilgisayarından Netscape browser ile izler.

SpoofingBu teknik güven ilişkisine dayanan bir tekniktir. Örneğin bir A bilgisayarı var, B bilgisayarına güveniyor. Bir de C bilgisayarı var, buna ise güvenmiyor. A güvendiği için B’ye veri gönderir; ama C’ye göndermez. Bu durumda eğer C bilgisayarı, kendini B bilgisayarı olarak A bilgisayarına tanıtıp kandırırsa bilgileri çalabilir.

Bu kandırma yöntemlerinden biri sahte DNS eşleştirmesidir; ama biz burada IP Spoofing işlemini inceleyeceğiz.

IP Spoof yani IP gizleme işlemi ile birlikte sahte IP ile kandırma olayıdır. Bu işlemi Ethernet üzerinden TCP/IP bölmesinden kolaylıkla yapılır, böylece sahte IP ile hacker herhangi bir iz bırakmamış olur.

IP değiştirme işlemindeki temel mantık, başka bir bilgisayar üzerinden (hedefin güvendiği bir bilgisayar) hedef bilgisayara saldırı düzenlerler. Bu işleme kaynak yönlendirme ile IP spoofing işlemi denir.

Hedef bilgisayara gönderilmek istenen saldırı paketleri belli bir bilgisayarın üzerinden gönderir. Aracı bilgisayar kendisi üzerinden gönderilen bilgi hakkında bilgi sahibi değildir, hacker aracıymış gibi davranır ve hedefe paketi iletir; ama kendisine dönen cevabı alamaz, bunu alabilmek için pakete –j parametresini ekleyerek alıcı gibi kendini tanımlar; ama hedef bilgisayarda gönderici olarak gözükmez, böylece iz bırakmadan saldırı yapabilir.

Oturum Çalmak (Session Hijacking)Oturum çalma işlemi yukarıda işlediğimiz sniffing ve spoofing işlemlerini bir karışımıdır. Bir bilgisayar üzerinde oturum açmak TCP/IP katmanında gerçekleşen 3 adımda el sıkışma yöntemine dayanır. Bilgisayarınızdan hedef bir bilgisayarda oturum açmak istediğinizde önce bir SYN, sonra ISN mesajı gönderilir. Hedef bilgisayar da ACK mesajı gönderir ve onaylar, buna 3 adımda el sıkışma denir.

Hacker, kırmak istediği bilgisayarda yetkili oturum açmak ister; ama çok güvenli sistemlerde bu sızmayı yapmak kolay değildir. Bunun için yetkili durumunda birini izlemeye alır. Telnet, ftp gibi güvensiz protokollere bağlantıda ise 3 adımda el sıkışma esnasında onayı üzerinde tutan ISN numarası dışarıdan elde edilebilir hale gelebilmektedir. Yetkili kullanıcıya bir DOS saldırısı düzenler ve devre dışı bırakarak hacker yetkilinin Ip’sini kullanır. ISN numarasını da yakaladığı takdirde kolaylıkla yetkili kişinin oturumunu kullanır, böylece hedef makinede hiçbir iz bırakmadan yetkili yapmış gibi tüm işlemleri yapabilir.

Microsoft Windows XP / 2000 / NT Şifrelerini Kırmak

Windows NT, 2000 ve XP aynı altyapıya sahiptirler. NT sistemlerde şifre hash’leri SAM (Security Account Manager) diye bilinen güvenlik veritabanında tutulurlar. Bu dosya Windows\System32\config klasörü altında bulunur. Bir kopyası ise Windows\Repair klasöründe tutulur.

Bir kullanıcı bilgisayarına şifre girdiğinde iki sistem tetiklenir, bunlar NT Hash ve LanMan Hash’tir. Girilen şifre önce Unicode yapısını dönüştürülür ve MD4 algoritmasından geçirir. LanMan hash şifreyi hesaplayabilmek için toplam 14 karakter olacak kadar boşluk ekler. Daha sonra bunu büyük harfe dönüştürür ve yedi karakterlik iki kısıma ayırır. Her bir kısım için oldukça zayıf bir algoritma olan DES kullanılır ve 16 bytelık tek yönlü bir hash değeri elde edilir.

Microsoft’un kullandığı LanMan mekanizması aslında bu sistemlerin en büyük açığıdır, çünkü çok zayıf bir algoritması vardır, bu sebeple hemen kırılabilirler. Örnekle açıklamak gerekirse:

Elimizde bir şifre olsun: 123456abcdef. Bu şifreye LanMan uygulandığı zaman:1. İlk olarak tüm karakterler büyük harfe çevrilir: 123456ABCDEF2. Daha sonra 14 karaktere tamamlamak için boşluk karakteri eklenir: “123456ABCDEF ”3. 14 karakterlik bu şifre 2 eşit kısma ayrılır: “123456A” ve “BCDEF ”4. Her bir kısım 8 bytelık DES algoritması uygulanır. 123456A için şifrelenmiş değer:

34DCA56BCD2A1EA2. Diğer 8 bytlık olan BCDEF için şifrelenmiş değer: EDC21A46E71BFAC3 olur.

Bu tür bir şifreyi hiç tanımadığınız bir kişinin bile olsa L0phtcrack ile ilk kısmı 1 gün, ikinci kısmı ise 12 dakikada kırmak oldukça mümkündür.

SAM’i KırmakBir diğer şifre kırma yöntemi ise SAM’i kırmaktır. Windows sistemlerde çökme çok sık yaşandığı için sık sık yedek alma işlemi gerçekleşir. Bu yedek işlemi esnasında Windows\repair klasörü altına SAM._ adı ile sıkıştırılmış SAM dosyasının kopyası oluşturulur.

Bu kopya alınıp komut istemi ekranında “expand” komutu ile SAM dosyası açılır ve şifreler hashler içinden rahatlıkla çalınıabilir.

SecholeBir hack yöntemi de Sechole metodudur. NT tabanlı sistemlerde normal kullanıcının admin dediğimiz tam yetkili kullanıcı haline gelmesini sağlayan Sechole.exe programıdır. Nt Sistemlerin güvenliği araştırılırken DebugActiveProcess kullanıcı modunda bir sistem dosyası olan Kernel32.DLL dosyasına kontrlllerin yapılmadan işlemin gerçekleştirilebilmesi yönünde bir açık keşfedildi. Bu sayede NT sistemlerde açık halde gelen Guest (Misafir) yetkisiz hesabı ile bağlanıp Sechole.exe ile tam yetkili haline gelerek her tür işlemi bilgisayarda yapabilmek mümkündür.

Arka Kapılar (Back Door)Hackerlar, bir sisteme sızdığında orada kalıcı olmak isterlerse bazı programlar kullanırlar. Bu programlara arka kapı denilmektedir. Bu programlar sayesinde bir daha hiç uğraşmadan hedef bilgisayar istediği gibi sızabilir ve fark edilmezler. Şimdi bu arka kapıları inceleyelim.

Trojanlar (Truva Atları): Tarihteki Truva Atı’na benzer bir mantık kullanılarak üretilmişlerdir. E-posta, sohbet programları gibi programlarda resim veya benzeri nesnelere enjekte edilerek gönderilir. Resim veya ilgili dosya açıldığında 1 ve 0 lardan oluşan makine kodları çalıştıran programlar tarafından anlık derlenir ve arka planda çalışacak şekilde gizlenirler. Kullanıcılar bu programları fark etmezler; ama arka planda kendisine tanımlanan port aracılığı ile hackerın bilgisayarına istenilen bilgileri sağlar.

Netbus: Arka kapı uygulamalardan biri de Netbus’tır. Kendisini genelde patch.exe (yama anlamına gelir) olarak saklar ve TCP protokolünü kullandığı için sistem güvenlik programlarının bile kolay kolay dikkatini çekmez. Belli bir port üzerinden hacker bu programa bağlanır. Program kurulduğunda kendini system ayarlarının tutulduğu registry dosyasına kaydeder ve her bilgisayar açıldığında çalıştırılır, böylece hacker Netbus sayesinde admin dediğimiz yetkili kullanıcı tanımı ile bilgisayar tanıtılır ve hiç dikkat çekmeden bilgisayara sızabilir, istediği bilgileri çalabilir.

Subseven: Çok güçlü bir trojandır. Sisteme uzaktan bağlanan hackerın istediğini yapabilmesine olanak sağlar. Bunlardan bazıları:* Uzaktan port taramak* Şifreli uygulamaların şifresini çalmak* Yazıcıdan çıktı almak* Kullanıcının klavyede bastığı her tuşu yakalamak ve kaydetmek* Mouse’u yönetmek* Web browser açarak kullanıcının tanımlı kullandığı bir siteye bağlanmak* Yahoo Mesenger gibi programlarda kullanıcının ne yaptığını izlemek

Windows’ta Delilleri Yok EtmekWindows tabanlo sistemlerde denetleme yapabilmek için Event Log kullanılır. Bu mekanizma ile sisteme yapılan girişler (başarılı veya hatalı), dosya ve nesnelere erişimler, sistemin kapatılması, açılması gibi her şey kayıt edilir.

Event Log’da olaylar 3 kategoride tutulur. Uygulama, Güvenlik ve Sistem. Her kategorideki işlemler geçici .log uzantılı dosyalarda tutulur, ana kayıtlar ise .evt uzantılı dosyalarda tutulur: Secevent.evt, Sysevent.evt ve Appevent.evt. Bu dosyalar C:\Windows\System32\config klasöründe saklanır ve erişim yetkisi olan herkes rahatlıkla ulaşabilir.

Bir hacker sisteme sızdığında hedeflerinden biri de Event Log’dur, çünkü yaptığı işlemler kayıt edilir. Normalde yetkili bağlandığı için Event Log’a bağlanıp silebilir; ama bu sefer silindiği ile alakalı bir event oluşacağı için hacker bu riske girmez. Bu yüzden Event Log dosyasına NT Resource Kit yazılımı ile gelen Auditpol programı aracılığı ile “disable” parametresi gönderilir, böylece Event Log kayıt servisi durur.

Akabinde kendisine ait kaytları silmek isteyecektir, zaten diğer kayıtları silerse dikkat çekecektir. Normalde elle açıp düzenleyebilir; ama bu kompleks bir işlem olduğu için bu yol çok tercih edilmez. Bunun için Elsave isimli çok kullanışlı bir yazılım aracılığı ile loglar tek tek silinir, böylece geride herhangi bir iz kalmamış olur.Ferhat SARIKAYABilgi Teknolojileri Danışmanı