Geçtiğimiz günlerde bir hacker grubu güvenlik piyasasının tanınmış isimlerinin bazılarının sitelerini(sistemlerini) hackledi. Hacklenenler arasında 2008 yılındaki meşhur DNS cache poisoning açıklığını bulan Dan Kaminsky ve hackerlik suçundan hapis cezası almış Kevin Mitnick de var.
Ilgili hacker gurubu hacklediği sistemlerden tüm bilgileri alarak internet üzerinden yayınladı, hacklenen sistemlerde çıkan güvenlik eksiklikleri ayrı bir yazının konusu olacak kadar geniş.
Hack olayının detaylarına baktığımda net olarak hangi sebepten sistemlere sızıldığını bulamadım.
Kisisel tahminlerim: sistemlerin tutuldugu hosting firmasında gerekli L2/L3 önlemlerinin alınmaması sebebiyle MITM olayının gerçekleştirildiği(Geçtğimiz yıl Metasploit.com bu şekilde hacklenmişti)diğeri de ilgili sistemlerde kurulmuş ama sonradan güncellemesi unutulmuş web yazılımlarında çıkan açıklıklar.
Her ne kadar ilkinin uygulaması daha kolay olsa da günümüzde ikinci tip güvenlik hatalarına daha çok rastlıyoruz. Zira arp spoof yapabilmek için hedef sistemle aynı hostingde aynı subnette bulunma zorunluluğu var. Unutulmuş web uygulamasını ise herkes biraz deneyerek bulabilir.
Mesela bir CMS sistemi kurup üzerine çeşitli eklentiler koyuyoruz, güvenlik konusunda biraz dikkatli iseniz kullandığınız CMS yazılımını açıklıklarını takip ediyor ama CMS üzerindeki eklentilerin güvenliği genelde gözden kaçabiliyor. Ya da test amaçlı kurduğunuz x web uygulamasını unutuyoruz ve bir tarihte unuttuğumuz o sistemde ciddi güvenlik açığı çıkıyor ve bu açıklık bizim tüm sistemimizi hatta sistemimizin bulunduğu tüm ip aralığını riske sokuyor.
Geçenlerde her iki yöntemi de yaşadım. Gecen hafta saldırganın biri benim de sistemlerimin bulunduğu hosting firmasında bir Windows makineyi ele geçirerek tüm networke arp spoof yapmaya başladı. Arp spoof sonrası aynı subnette bulunan diğer makinelere hiç ulaşılamıyordu, sanırım tecrübesiz hacker sadece arpspoof yapabilmişti ama kendisine gelen paketleri forward etmeyi başaramamıştı ya da başka bir sebepten makineler ulaşılamaz halde idi.
Kendi sistemimde gatewayin MAC adresi sabit girili olduğu için ben ulaşabiliyordum. Hemen sisteme girip tcpdump ile ağı dinlemeye aldım ve ortamda bir makinenin gateway için sahte mac adresleri yaydığını gördüm.
Saldırıyı yapan sistemi bulmak biraz zor oldu. Zira saldırgan MAC adresini spoof ederek arp poisoning yapıyordu.
Saldırı gecesinin sabahında ilgili makinenin yöneticileri uyarılarak önlem alındı fakat o networkde saldırıya maruz kalıp da cleartext protokol kullanan tüm uygulamalar hala risk altında.
Diğer maddeyi(unutulmuş eski web uygulaması) de dün yaşadım. Açmayı düşündüğümüz portal için 2-3 ay öncesinde bir forum yazılımı kurmuştum. Bir şekilde vakit ayıramadığım için portalın açılması gecikti ve ben de orada ne kurulu ne değil unuttum.
Dan Kaminsy’nin hacklenmesi sonrasında sistemlerimde ek güvenlik taramaları yaparken bir de ne göreyim üzerinde sağlam SQL Injection açıklığı barındıran bir forum uygulamasına sahipmişim. Hemen ilgili uygulamayı kökünden kazıyarak sistemde uzaklaştırdım ama sistemimde buna benzer kurup da kullanmadığım uygulamaların olmasından şüphelendim. Sistemime kurduğum her uygulamanın kaydını tutmuş olsam bu sıkıntıyı yaşamazdım.
Şimdi kullanacağım web uygulamaları için otomatik yama takibi yapan bir sistem arayışındayım. Yani ben kullanmak istediğim ve kurduğum sistemlerin isimlerini gireceğim, bir uygulama da günlük olarak bu yazdığım web uygulama/ve bileşenleri için gidip güvenlik duyurularını inceleyerek beni bilgilendirecek.
