willing is not enough, you must do."
Lee
Internet kafeler ADSL’in evlerimize girmesiyle beraber artık popularitesini büyük ölçüde kaybetmiş durumda. Buna rağmen tatil yörelerinde, kısıtlı bir takım alanlarda internet kafeler halen müşteri bulabiliyor. Bu blog girdisi çoğu kafede kullanılan fakat ismini telafuz etmemizin yanlış olacağı bir kafe yönetim programıyla ilgili. Kısaca durumu özetleyecek olursak kafe yönetim uygulamasındaki zayıflıktan faydalanan saldırgan, müşteri olarak oturduğu bilgisayarı anabilgisayar gibi kullanarak diğer kullanıcılara ait ekran görüntüleri ve kontrollere kolaylıkla erişebiliyor. Paronayakça olduğunu düşünebilirsiniz:) internet kafelerdeki bilgisayarları kullanarak yapmamanız gereken işlemler;
1) Finansal işlemler yapılmamalı
2) Önemli e-postalar kontrol edilmemeli
3) Uzaktan erişim – kimlik doğrulama gerektiren önemli işlemler yapılmamalı (SSH, RDP, TELNET, FTP)
#!/usr/bin/python # Bu program Ali Okan YÜKSEL tarafindan yazilmistir. # Oneri gorus ve sorulariniz icin: hello@knyksl.com # Kodlarin isinize yarayacagini umuyorum. from Tkinter import * import socket import threading import time class ircx(threading.Thread): def tanimla(arg0,arg1,arg2,arg3): global server1,nick1,kanal1 server1 = arg1 nick1 = arg2 kanal1 = arg3 def run(self): self.server = server1 self.nick = nick1 self.channel = kanal1 self.socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) self.socket.connect((self.server, 6667)) self.socket.send('NICK %s\r\n' % self.nick) self.socket.send('USER X 0 * : fazbot\r\n') self.socket.send('JOIN %s\r\n' % self.channel) self.socket.send('PRIVMSG #snakepit :Hey \r\n') self.socket.send('PRIVMSG %s :Merhabalar, yardim icin !help yazin.\r\n' % self.channel) while 1: self.data = self.socket.recv(1024) print self.data if self.data.startswith("PING"): self.socket.send('PONG %s\r\n' % self.data.split(":")[1]) time.sleep(3) class irc: def __init__(arg0,arg1,arg2,arg3): #print arg1 + arg2 baglan = ircx() baglan.tanimla(arg1,arg2,arg3) baglan.start() class ana: def __init__(self,parent): global ent1,ent2,ent3,but1 self.anaframe = Frame(parent) self.anaframe.pack(pady=40) self.frame1 = Frame(self.anaframe) self.frame2 = Frame(self.anaframe) self.frame3 = Frame(self.anaframe) self.frame4 = Frame(self.anaframe) self.frame5 = Frame(self.anaframe) self.frame1.grid(row=0,column=0) self.frame2.grid(row=1,column=0,pady=5) self.frame3.grid(row=2,column=0,pady=5) self.frame4.grid(row=3,column=0,pady=5) self.frame5.grid(row=4,column=0,pady=10) ent1 = Entry(self.frame1) ent1.insert(END,"irc.freenode.net") ent2 = Entry(self.frame2) ent2.insert(END,"snake_bot") ent3 = Entry(self.frame3) ent3.insert(END,"#snakepit") self.lab1 = Label(self.frame1,text = "Server") self.lab2 = Label(self.frame2,text = "Nick") self.lab3 = Label(self.frame3,text = "Kanal") self.lab4 = Label(self.frame5,text = "Bu program Ali Okan YÜKSEL \ntarafindan ornek amacli yazimistir.\nE-posta: hello@knyksl.com") self.lab1.pack(side = "left") ent1.pack() self.lab2.pack(side="left",padx=7) ent2.pack() self.lab3.pack(side="left",padx=4) ent3.pack() self.lab4.pack() but1 = Button(self.frame4, text = "Connect",command=self.irc0) but1.pack() def irc0(arg0): irc1 = irc(ent1.get(),ent2.get(),ent3.get()) but1["text"]="Connecting..." def butset(arg0,arg1): but1["text"]=arg1 root = Tk() root.geometry("300x300+100+100") ana1 = ana(root) root.mainloop()
Honeypot uygulamalarıyla network üzerinde; sahte servisler kullanılarak olası saldırılarla ilgili analiz şansı yakalanır. Diğer taraftan sahte SSH servisi çalıştırılan bir sistem üzerinde kaydedilen parolalar saldırı amaçlı da kullanılabilir. Kojoney amacınıza bağlı olarak kullanabileceğiniz güçlü bir araçtır.
http://kojoney.sourceforge.net/
Honeypot softwares
Günümüzün vazgeçilmezi haline gelen internetle beraber kablo üzerindeki bilginin güvenliği de son derece önem kazanmıştır. Kurumsal veya kişisel özel verilerin, kablo üzerinde gizliliği son derece kritik ve hassastır. Bilginin karşı tarafa doğru iletilmesi ve bilginin transferi sırasında başkaları tarafından izlenememesi gerekmektedir. Bu gereksinimleri yerine getirebilmek amacıyla Secure Sockets Layer geliştirilmiştir.
Saldırı tipleri ve araçlar
Yapılan testlerde Backtrack 3.0 Linux ortamı kullanılmıştır.
Bu dökümanda SSL trafiğindeki verilere erişim amacıyla 2 saldırı tipi ele alınmıştır. Her iki saldırı tipi de MiTM (Man in the middle) olarak bilinen yöntem kullanılarak şekillenmiştir.
MiTM ile sniffing switched ağlar için etkili bir saldırı yöntemidir. ARP reply paketleriyle hedef ARP tablosu zehirlenir. Saldırgan, packet forwarding özelliğini de aktif hale getirdiği sistemi üzerinde hedef veri için analiz şansı yakalar.
Güvenlik zaafiyeti (vulnerability) veya uygulama hatalarından (bug) yola çıkarak kodlanmış, amaca hizmet eden yazılımlardır. Exploit’ler farklı kriterlere göre sınıflandırılır. Uzaktan tetiklenen Exploit’ler remote exploits yerel ortamda çalıştırılanlar local exploits olarak adlandırılır.
Diğer bir sınıflama yöntemine göre exploitler korunmasız hedef tanımlarına göre adlandırılır. unauthorized data access, arbitrary code execution, denial of service, sql injection gibi. Etkili olan çoğu exploit programı için hedef süper kullanıcı yetkisi elde etmek veya yetkisiz erişimler sağlayabilmektir.
Exploit’i yayınlanan software için yeni sürümde düzeltmeler yapılır. Exploit yayınlandığında farklı renklere hizmet edebilir. “Blackhat hackers” felsefesini benimsemiş programcılar herkese hizmet eden kod parçasını yayınlamaktansa, bilgiyi kendilerine saklamayı tercih edebilir. Günümüzde “Zero day exploits” adıyla yayınlanan exploitler, kodlama yeteneğinden yoksun “script kiddies” olarak tanımlanan kişilerce kullanılabilir.
Güncel Exploit’ler Bilgi güvenliği meraklıları, güvenlik uzmanları ve “Penetration tester”lar tarafından takip edilir, test edilir.
Exploit web bağlantıları
http://www.secwatch.org
http://www.milw0rm.com
http://www.securiteam.com
http://www.packetstormsecurity.nl
http://www.securityfocus.com
http://www.elhacker.net
http://www.governmentsecurity.org
http://hack.com.ru/
http://www.hackcoza.tk/
http://www.web-hack.ru/
http://www.securiteam.com/
http://securityvulns.com/exploits/
http://www.hackerzhell.co.uk/indexmain.php
http://hacktheb0x.tk/
http://neworder.box.sk/
http://www.k-otik.com/
http://www.security-corporation.com/
http://www.securityfocus.com/
http://www.hackcoza.com/lynx.html
http://www.anyside.com/
http://www.cnids.com
http://www.addict3d.org/index.php?page=security
http://www.frsirt.com
http://www.securitydot.net/
http://blog.csdn.net/group/ExploiT/
http://seclists.org
http://metasploit.com/projects/Framework/
http://marc.info/?l=bugtraq
http://www.php-security.org/index.html
Önerdiğiniz siteleri mail atabilirsiniz.
knyuksel[at]gmail.com 10.07.2009 İzmir,
Ali Okan YÜKSEL
Genel olarak Cookie poisoning saldırıları web uygulamalarında cookie den gelen bilgiyle sorgulama yapılan durumlar için risk oluşturmaktadır. Firewall tarafından bypass edilen GET/POST istekleri için alternatif bir yöntem olarak saldırgan Cookie poisoning yöntemini deneyebilir. Cookie’den gelen verilerle olası saldırı ihtimalini de düşünen programcı, input validation yöntemiyle korunabilir.
Tarayıcı açıklarıyla beraber kullanılan keylogger uygulamaları kritik seviyede risk oluşturmaktadır. Bilgi güvenliği konusunda bilinçsiz, antivirus yazılımı kullanmayan internet kullanıcıları bu tarz saldırılar için potansiyel hedef durumundadır. Önlem almadan bilinçsiz kullanım sonucu yasal olmayan işlemler için hedef haline gelen bu kullanıcıların bilinçlendirilememesi önemli bir problemdir.
Keylogger uygulamaları en basit haliyle klavye girişlerini kaydederek saldırgana bilgileri ulaştırır. Gelişmiş keylogger uygulamaları ekran görüntüleri de kaydedebiliyor.
Keyloggerlardan bahsedildiğinde günümüzde daha çok software tabanlı uygulamalar akla geliyor ve önlemlerde buna göre alınıyor. Antivirus kullanılması, güvenlik yamaları vs gibi… Farklı yöntemlerle de klavye girişleri kaydedilebilir.
Aşağıda PS/2 ve USB keylogger aygıtları temin edebileceğiniz firma bilgileri yer alıyor. Türkiye’de de bu tarz ürünleri temin edebiliyorsunuz.
Son olarak bilgiye sahip olan kişilerin olası saldırı yöntemlerine karşı hazır ve daha dikkatli olmalarını öneriyoruz.
Keylogger’lardan korunmak için öneriler;
- - Windows XP kullanıcıları asla Service Pack3 olmadan internete bağlanarak finansal işlemlerinizi gerçekleştirmeyin.
- - Windows XP kullanıcıları Internet Explorer 6 kullanıyorsanız mutlaka sürüm yükseltmesi yapın. Internet Explorer 8 veya Mozilla Firefox kullanmanız önerilir. Firefox kullansanız dahi IE sürüm yükseltmesi yapmayı ihmal etmeyin.
- - Mediaplayer sürüm yükseltmesi yapmanız önerilir.
- - Antivirus kullanmanız önerilir.
- - İşletim Sisteminizin Autorun özelliğini iptal edin.
- - Flash disk’lerden bulaşabilecek viruslere karşı korunun.
http://www.keelog.com/order.php#prices
Ali Okan YÜKSEL okan[at]deu.edu.tr
securitytube güvenlik video paylaşım sitesinde izleyebileceğiniz güvenlik videolarıyla uygulama konusunda kendinizi geliştirebilirsiniz.
Contact us
