Dünya genelinde dijitalleşme sürecinin gelişmesi ve hızlanması ile artık birçok işimizi web sayfaları veya uygulamalar aracılığıyla sunulan hizmetlerle gerçekleştirebiliyoruz. Çoğu, insan yararı için kullanıma sunulan bu hizmetler kötü niyetli kişilerin hedefi olmaktan kaçamıyor. Özelikle kişisel kritik verilerin çalınması amacı güden siber saldırılara karşı, hizmet vericilerin sistemlerini en sağlam şekilde korumaları gerekiyor. Her geçen gün daha fazla sistemin kurumlar veya şirketler tarafından hizmete sunulması kötü niyetli kişilerin saldırı yapabilecekleri yüzeyi (attack surface) de artırmış oluyor. Bu nedenlerden dolayı da siber güvenlik bilişim sektöründeki önemini artırarak koruyor.
Her yıl dünya genelinde devlet kurumları ve özel şirketler siber güvenlik önlemlerini artırmak için milyarlarca dolar bütçe ayırıyorlar. Buna rağmen her geçen gün -hırsıza kilit dayanmaz- misali siber saldırılardan etkilenip zarar görenler arasına yenileri katılıyor. Çünkü saldırganlar zekiler, sürekli kendilerini geliştiriyorlar ve daima yeni zafiyetler bulmak amacıyla çalışıyorlar. Bu gerçeklik savunma durumunda olan; ağ güvenliğinden, uygulama güvenliğinden, sistem güvenliğinden ve veri tabanı güvenliğinden sorumlu kişilerin de kendilerini geliştirmelerini zorunlu kılıyor.
Bu çerçevede devlet içerisinde ve özel sektörde belirlenmiş bazı standartlar-hedefler doğrultusunda bilişim personellerinin siber olaylar ve bunlara müdahale konularında eğitimler almaları sağlanıyor. Bu yazıda SOME eğitimlerinde de değinilen, siber saldırıların ilk aşaması olan keşif aşaması hakkında ağ ve güvenlik yöneticilerinin işine yarayabilecek bir şeyler karalanmıştır.
Siber Saldırı Süreçleri
Saldırgan eylemde bulunacağı hedefi önceden belirlemiş olabilir veya rastgele bir hedef seçebilir. İki senaryoda da saldırı aşamaları aşağıdaki gibidir:
1-Keşif
2-Tarama
3-Erişim Sağlama
4-Erişim Koruma
5-İzlerin Silinmesi
Farklı kaynaklarda yukarıdaki aşamalarla ilgili detay bilgiler bulabilirsiniz. Yazının devamında Keşif kısmı mümkün olduğunca anlatılmaya çalışılacak.
Keşif Aşaması
Saldırgan saldırı süresince en çok zamanı keşif aşamasında kaybeder (zamanın 9/10 u). Eğer saldırgan bu aşamada işine yarar bir şey (zafiyet) bulamazsa ikinci aşamaya geçemeyecektir. Geçmek istese bile çok daha geniş çaplı bir tarama yapması gerekir, bu tarama sürecinin uzaması durumunda ise saldırının tespit edilmesi kolaylaşacaktır. Eğer doğru ayarlanmış bir güvenlik duvarınız ve log yönetim – uyarı sisteminiz (SIEM vb.) var ise bu tip geniş çaplı taramalarda uyarılıyor olmanız beklenir.
Keşif aşamasında saldırganlar birçok araç kullanır. Yazının devamında saldırganların kullandığı bazı araçlara kısaca değinilecektir. Bu sayede kuruluşlarla siber güvenlik ten sorumlu bilişim personellerinin bu keşif araçlarının varlığından haberdar olması ve bu araçları kullanarak kendi zafiyetlerini saldırganlardan önce görüp gereken düzenlemeleri yapabilmeleri amaçlanmaktadır. Belirtilen araçların kullanımına dair geniş kaynaklar birçok web sayfasında bulunabilir.
Zafiyet tespitinde Hangi araçlar kullanılır ?
Hepinizin bildiği üzere yüzlerce saldırı aracını bir arada toplamış olan Kali Linux saldırganların sıkça kullandığı işletim sistemlerinden biridir. Bu yazıda bahsedilecek araçların tümü Kali Linux içerisinde gelen araçlardır, bazılarının ise Microsoft Windows sürümleri vardır. Hızlıca kali linux’u kurup kurcalamak isterseniz Virtualbox sanal ortamına ücretsiz kurabilirsiniz. Bu kurulumların nasıl yapılacağına dair da birçok anlatım bulabilirsiniz.
Nmap
Nmap tüm host, port ve servis tarama programlarının en geniş kapsamlısıdır. Sadece bu aracı kullanarak birçok ihtiyacınızı karşılayabilirsiniz. Nmap’in Microsoft Windows işletim sistemlerinde de çalışabilen GUI versiyonu Zenmap aracını da aynı amaçla kullanabilirsiniz. Hedef üzerinde yapılan temel taramaların ardından kullanılacak olan ve kısaca NSE olarak adlandırılan Nmap scripting engine sayesinde zafiyet taraması da yapabilirsiniz. Nmap emek verilerek öğrenilmesi gerektiğini düşündüğüm bir araç. Eğer isterseniz Udemy, cbt nuggets, professormesser gibi eğitim videosu içerikleri yayınlayan kanallardan birinden faydalanabilirsiniz.
Wafw00f
Wafw00f aracı bir web sayfasının önünde hangi web application firewall – load balancer vb. olduğunu tespit etmede kullanılan araçtır. Onlarca marka ürünü tanıyabilmektedir.
Nadiren de olsa uçtaki güvenlik duvarı, yük dengeleme cihazı gibi cihazlarda da kritik zafiyetler bulunabilmektedir. Bunları göz önünde bulundurarak uçtaki WAF – LB cihazlarınızın stabil – güvenli versiyonda olduğundan emin olun zira saldırganlar ne kullandığınızı biliyorlar.
Shodan.io
Her yerden ulaşılabilen bir web sayfası olması ve size önceden yaptığı geniş kapsamlı taramaları göstermesi nedeniyle tercih edilen araçlardan biridir. Ücretsiz üye olup kullanabileceğiniz shodan.io sayesinde bir ip veya domain arkasında hangi uygulamalar çalışıyor görebileceğiniz bir kaynak. Shodan açık bir port gördüğünde bu porttan bağlantı kurmaya çalışır ve o sayfanın verdiği cevabı indexler. Bu indexler sayesinde shodan.io’nun daha önce taradığı hedeflerde çok çeşitli aramalar yapabilirsiniz. Hayal gücünüze göre arama tiplerini çoğaltabilirsiniz. Eğer bir kuruluşta güvenlikten sorumlu bilişim personeli iseniz sahip olduğunuz IP aralıklarını ve domaininizi sorgulamanızda fayda olacaktır. Orada görünmesini istemediğiniz servisleriniz vs. varsa bunlar hakkında önlem alabilirsiniz.
Birçok kurumun internete açık ftp vb. sunucuları mevcut; kullanılan ftp sunucusunun versiyonunda bir zafiyet olması durumunda kötü niyetli kişilerin bundan yararlanması kaçınılmaz olacaktır. Aşağıdaki ekran görüntülerinde yazıya eklemek için yaptığım birkaç farklı tarama sonuçlarını görebilirsiniz.
wpscans.com
wpscans.com yine kali linuxta bulabileceğiniz wpscan aracının online hale getirilmişi. Bu websitesi veya wpscan aracı ile WordPress sitelerinizdeki zafiyetleri ve uyarıları görebilirsiniz.
Nessus
Muhtemelen en çok kullanılan zafiyet tarama programı olan Nessus daha çok iç ağda kullanılır. Lisansları alındığı takdirde Mobil cihaz zafiyetlerinden uygulama zafiyetlerine kadar birçok çeşitli alanda tarama yapabilmektedir. Sunucu ağınızı ve son kullanıcı ağlarınızı tek seferde Nessus ile taratıp zafiyetlerinizi öğrenip gerekli aksiyonları (güncelleme vb.) alabilirsiniz. Nessus Professional paralı bir programdır. Nessus Home ise ücretsiz kullanabileceğiniz sürümüdür. Bildiğim kadarıyla aradaki tek fark Nessus Home sürümünün yeni çıkan zafiyetlerden biraz daha geç haberdar ediliyor olması.
OpenVAS
2005 Yılına kadar Nessus açık kaynak bir projeydi, Tenable projeyi kapalı kaynağa çevirince bazı geliştiriciler ayrıldılar ve OpenVAS’ı oluşturdular. Görsellik ve kullanım kolaylığı olarak Nessus kadar iyi olmayan OpenVAS’ın kurulumu da biraz zorlayıcı olabiliyor (bu linkten daha önce kendim sıkıntısız kurmuştum). Her şeye rağmen OpenVAS’ın iyi bir zafiyet tarayıcısı olduğu da inkar edilemez. Tamamen ücretsiz olması da cabası.
OWASP ZAP
Open Source Web Application Security Project – Zed Attack Proxy programı en çok tercih edilen ücretsiz web uygulaması güvenliği test aracıdır. Owasp Zap’ı herhangi bir Linux dağıtımında veya Microfost Windows işletim sistemli bilgisayarlarda kullanabilirsiniz. Kuruluşunuzda uygulamacı-yazılımcı personelin OWASP ZAP’ı kullanarak uygulamaların güvenliğini test etmesi mutlaka faydalı olacaktır, zira uygulamanın kendisinden kaynaklı bir zaafiyetin güvenlik duvarı veya WAF tarafından engellenmesinin beklenilmesi mantıksızdır. Kurulum ve kullanımı basittir.
Tavsiye Uygulamalı Online Eğitim sitesi:
https://www.hacksplaining.com/
Tavsiye Kitap:
Ethical Hacking (Hacking Kursu)
Gökhan Usta
Geri bildirim: USOM zararlı listesini Fortigate Güvenlik Duvarında engelleme • Alperen Soyalp
Geri bildirim: AĞ'da Yaşanabilecek Sorunlar ve Çözümleri • LOOP • Alperen Soyalp
Geri bildirim: Fortıgate Kurulum ve CLI Fırmware Upgrade • Alperen Soyalp