Network üzerinden yapılan bruteforce denemelerinde en önemli nokta yazılımın paralel denemeler yapabilmesi ve modüler yapıda(çokça sayıda network servisini destekleme) olmasıdır.

Network üzerinden yapılacak brute force denemeleri içi çeşitli yazılımlar var. Bunlardan en günceli ve özellik olarak en zengini Medusa’dır.  Medusa ve diğer bruteforce yazılımlarının güncel karşılaştırma tablosu için http://foofus.net/jmk/medusa/medusa-compare.html  adresi incelenmelidir.

Medusa Kurulumu:

#apt-get install medusa //Debian/Ubuntu Linux dağıtımları için

sonrasinda hangi parametreleri aldigini ve yardim menusunu goruntulemek için komut satırından medusa yazilir.

root@elmasekeri:~# medusa
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ALERT: Host information must be supplied.

….

Medusa’nin moduler yapısı sayesinde bilinen çoğu network servisine yönelik bruteforce denemeleri yapılabilir. Desteklenen modullerin neler oldugunu gormek icin -d parametresi kullanilir.

root@elmasekeri:~# medusa -d
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

Available modules in “.” :

Available modules in “/usr/lib/medusa/modules” :
+ cvs.mod : Brute force module for CVS sessions : version 1.0.0
+ ftp.mod : Brute force module for FTP/FTPS sessions : version 1.3.0
+ http.mod : Brute force module for HTTP : version 1.3.0
+ imap.mod : Brute force module for IMAP sessions : version 1.1.0
+ mssql.mod : Brute force module for M$-SQL sessions : version 1.1.1
+ mysql.mod : Brute force module for MySQL sessions : version 1.2
+ ncp.mod : Brute force module for NCP sessions : version 1.0.0
+ nntp.mod : Brute force module for NNTP sessions : version 0.9
+ pcanywhere.mod : Brute force module for PcAnywhere sessions : version 1.0.2
+ pop3.mod : Brute force module for POP3 sessions : version 1.1.1

Herhangi bir module ait ek parametreler  dogrudan ekranda gozukmez. Ilgili module ait ek parametreleri ogrenmek için medusa -M modül_ismi -q parametreleri kullanılır.

root@elmasekeri:~#medusa -M web-form -q

Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

web-form.mod (0.9) Luciano Bello <luciano@debian.org> :: Brute force module for web forms

Available module options:
USER-AGENT:?       User-agent value. Default: “I’m not Mozilla, I’m Ming Mong”.
FORM:?             Target form to request. Default: “/”
DENY-SIGNAL:?      Authentication failure message. Attempt flagged as successful if text is not present in

Medusa kullanarak SSH brute force denemesi:

root@elmasekeri:~# medusa -M ssh -m BANNER:SSH-2.0-MEDUSA -h localhost -u huzeyfe -P wordlist
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: a (1/26125)
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: aba (2/26125)
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: abaci (3/26125)
ERROR: Failed to retrieve supported authentication modes. Aborting…
ERROR: No supported authentication methods located.
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: abacilik (4/26125)

Related posts:

1. VoIP Guvenligi Test araclari
2. Time To Patch Linux Kernel
3. sudo ile detayli komut loglama

Scapy, Python dili ile yazılmış Linux ve Windows sistemlerde komut satırından çalışan açık kaynak kodlu bir yazılımdır. Kullanım amacı TCP/IP ağlar için özelleştirilmiş paketler üretmektir. Nmap, packit, Hping, sing gibi bu işe özel araçlar varken neden özelleştirilmiş paketlere neden ihtiyaç duyarız?

Bunun  cevabı yine  sorusunda yatıyor.Nmap ve Hping en sık kullanılan port tarama ve paket üretme “araçlarıdır”, yani belirli amacı gerçekleştirmek için hazırlanmış yazılımlar. Fakat her iki aracın da sınırları vardır ve sadece yazılımcısının sunduğu özellikler kullanılabilir.

Mesela Nmap ile istenilen türde TCP paketleri üreterek tarama yapılamaz ya da Hping kullanarak L2 seviyesinde(ARP, RARP) paketler üretilemez. Piyasada bulunan benzeri ürünlerin hepsinde buna benzer çeşitli kısıtlamalar vardır.

Scapy tüm bu araçlarda bulunan, bulunmayan özellikleri esnek bir şekilde sunar. Scapy için oyun hamuru diyebiliriz, Scapy ile TCP/IP ağlarda birşey yapmak için sadece ne istediğinizi bilmeniz ve bunu Scapy’nin anlayacağı şekilde yazmanız yeterli olacaktır.

Scapy Kullanımı:

Scapy interaktif bir kullanıma sahiptir, istenirse python scriptlerinde import edilerek de kullanılabilir.

TCP/80 portuna SYN bayraklı paket gönderimi

# scapy
Welcome to Scapy (2.0.0.10 beta)
>>> sr(IP(dst=”192.168.0.0/24″)/TCP(dport=80, flags=”S”))

XMAS Tarama için özellştirilmiş paket gönderimi

>>> ans,unans = sr(IP(dst=”192.168.1.1″)/TCP(dport=666,flags=”FPU”) )

Script içerisinde Scapy kullanımı

Basit TCP Port tarama aracı

#!/usr/bin/env python
import sys
from scapy import sr,IP,TCP,conf
conf.verb = 0
dstip = sys.argv[1]

print “\nScan started for  “+dstip
res,unans = sr(IP(dst=dstip)/TCP(dport=[(0,1024)]),timeout=1)
if res:
print “\nReceived answers from the following ports:\n”
for s,r in res:
print r.sprintf(“%TCP.sport%”)
print “\nScan Finished\n”

Scapy ile yapılabilecekleri daha detaylı görmek ve öğrenmek için http://www.secdev.org/projects/scapy/doc/ adresindeki güncel dökümantasyonu incelenebilir.

Related posts:

1. Scapy Calismalari-III [Paket Dinleyicileri Belirleme]
2. Scapy Calismalari -IV
3. Acik Kod Uygulama test araclari

http://netsec.lifeoverip.net/duyuru/netsec-ag-ve-guvenlik-bulteni-sayi32-19-08-2010/ adresinden okuyabilirsiniz.

Related posts:

1. Netsec Güvenlik Bülteni: Sayı 31 – 03.08.2010
2. Netsec Güvenlik Bülteni: Sayı 29 – 01.07.2010
3. Netsec Güvenlik Bülteni: Sayı 26 – 02.05.2010

Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.

Tcpxtract ile akan trafikten veri ayıklama

parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.

# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf

Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama

# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel

tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriğinden istenen dosyalar ayıklanabilir

# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf

Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.

Related posts:

1. tcpdump ile pasif isletim sistemi saptama
2. Scapy Calismalari-III [Paket Dinleyicileri Belirleme]
3. Kaydedilen trafikten veriyi olusturmak- Data Carving!

Bilgi güvenliği AKADEMİSİ tarafından hazırlanan DDoS saldırıları ve korunma yolları/analizi konularını kapsayan 23 soruluk değerlendirme sınavı http://www.bga.com.tr/?p=1619 adresinden yayına girmiştir.

Konuya meraklı okuyucularımızın teste katılıp bu konudaki bilgilerini sınayabilirler.

Related posts:

1. DDoS Eğitimleri Artık İngilizce – www.ddostraining.com
2. [Makale] DDoS Saldırı Analizi
3. 7 saat 7 dakika süren DDoS saldırısının analizi

Bu konuda değerli görüşünüzü sağ taraftaki anket köşesinden oylayabilirsiniz.

Related posts:

1. iki gun daha kapaliyiz

Kısa bir çalışma sonrası ddostraining.com ve ddostrainings.com adreslerinden yayın yapan dünyanın ilk ürün bağımsız DDoS eğitimini ingilizce açmış olduk. Bu konudaki ilk eğitim Eylül ayında İstanbul’da gerçekleştirilecek. 2011 yılında özellikle Ortadoğu ve Avrupa piyasasına da eğitim ve danışmanlık hizmetleri vermeye başlayacağız.

Eğitim notlarımız Türkçe’den İngilizce’ye çevrilecek, bu da bizim için ayrı bir gurur kaynağı:).

Related posts:

1. DDoS Saldırıları Ve Analizi Değerlendirme Sınavı
2. “DDoS yapamadık ama hackledik” mantığı
3. Özgür yazılımlarla DDOS engelleme sunum dosyası

Güvenlik kahvesinin bu haftaki konuğu Huzeyfe ÖNAL. Kendisi ile her zaman gündemde olan DDoS (Denial-of-service attack) konusunu konuştuk.

NGB:Bilişimcilerin özellikle son zamanlarda aşina olduğu bir kavram var: DOS/DDoS. Hep duyarız. Siz nasıl tanımlıyorsunuz bu kavramları? Nedir ne değildir?

Huzeyfe ÖNAL: DoS/DdoS saldırıları aslında yeni karşılaştığımız bir saldırı türü değil, 90’lı yıllarda çıktığından beri dönem dönem kendisini hatırlatan bir saldırı yöntemi. Aslında bilgi güvenliğini oluşturan temel bileşenlere bakıldığında bilginin erişilebilir olması güvenlik için temel şartlardandır. DdoS saldırıları bilgi güvenliğine ait en önemli katman olan erişilebilirliği hedef alır .

NGB:Söylediğiniz kadar etkili ve kötü bir silah mıdır DDoS?

Huzeyfe ÖNAL: Evet, erişilebilir olmayan bir bilginin güvenliğini sağlamak zorunda kalmayız.  Genellikle erişilebilirlik hep unutulur veya tüm senaryolar, tüm güvenlik önlemleri bilginin erişilebilir olduğu düşünülerek alınır. Oysa en temel problem bilginin erişilelemez olmasıdır ve malesef ki DdoS saldırıları bu amaç için sıkça kullanılır.

NGB: Peki şu ataklar olursa DOS/DDoS ‘tur , eğer olmazsa değildir gibi keskin çizgilerle ayırmak mümkün müdür?

Huzeyfe ÖNAL: Eğer bir işlem sonucunda sistem erişilemez hale geliyorsa buna DoS diyebiliriz. Yapılan illa saldırı olmasına gerek yok, bir programcının yapacağı basit bile  –eğer sistemde gerekli önlemler alınmamışsa- sistemin çalışamaz hale gelmesine sebep olabilir. Dolayısıyla DDOS/DOS saldırılarını diğer saldırılardan ayırt etmek için tek şey kullanıyoruz oda sistemin saldırı sonrası erişilebilir olup olmaması.

NGB: DOS/DDoS atakları kendi içinde kategorilere ayrılıyor mu yoksa hepsi tek tip olarak mı yapılıyor? Çeşitlendirme yapmak mümkün mü?

Huzeyfe ÖNAL: Her saldırı tipi kendi arasında kategorilendirilebilir. DdoS saldırılarında da piyasada çok bilinen, sık tercih edilen ve az bilinen saldırı tipleri olarak ikiye ayırmak mümkündür. Bilinen ve sık tercih edilen saldırı tiplerine örnek olarak syn flood, udp flood, http get flood verebiliriz. Az bilinen ve daha çok bilgi, beceri ve kaynak isteyen saldırı tiplerine de dns amplification saldırılarını örnek olarak verebiliriz.

NGB: DOS/DDoS ‘ları mevcut güvenlik sistemlerimizle (firewall,IDS/IPS, Linux,vs…) tamamen önlememiz mümkün mü?

Huzeyfe ÖNAL: Bilişim sektöründe kesin ifadeleri kullanmak ancak bilgi ve tecrübe eksikliğinden kaynaklanır. Bir sistem hiç bir zaman kırılamaz değildir, aynı şekilde her sistem de kırılacak diye kesin bir ifade kullanamayız. Saldırının tipine, şiddetine,  sahip olduğunuz bant genişliğine ve kullandığınız donanım/yazılıma bağlı olarak saldırılar engellenebilir veya engellenemez.

Mesela SYN flood saldırılarına karşı çoğu sistem syn cookie veya syn proxy özelliğine sahiptir. Eğer gelen saldırı çok şiddetli değilse ve SYN flood tipindeyse siz belirli orana kadar bu saldırıları ek çaa gerektirmeden bu özellikleri aktif ederek engelleyebilirsiniz. Ama gelen saldırı sizin bant genişliğinizden yüksek veya güvenlik sistemlerinizin kapasitesinden yüksekse o saldırı karşısında kuracağınız çoğu sistem işlevsiz kalacaktır.

NGB:O zaman şöyle klasik bir durum ortaya çıkıyor. Doğru bilinen yanlışlar var. Bunları sıralayabilir misiniz?

Huzeyfe ÖNAL: DdoS konusunda doğru bilinen yanlışlar fazlasıyla var. Bunun temel sebebi ddos konusunun efsanevi olarak kulaktan kulağa yayılarak öğrenilmesi ve genelleme ifadelerin kullanılması. DdoS denildiğinde hiç yoktan 10-15 adet saldırı tipi akla gelir, bir sistemin DdoS’u engelliyor demesi için bu saldırı tiplerinin hepsine karşı çözüm içermesi gerekir.

Doğru bilinen yanlış(eksiklikleri)ları kısaca sayacak olursak:

• Linux sistemler DdoS’a karşı dayanıklıdır
• Bizim güvenlik duvarı DdoS’u engelliyor
• Bizim Saldırı Engelleme Sistemi DdoS’u engelliyor.
• DdoS saldırıları engellenemez
• HTTP GET flood saldırılarında IP spoofing yapılabilir

NGB:Klasik savunma yaklaşımlarının çok etkili olmadığı bu saldırı tipine karşı önlem almada en temel amaçlar neler olmalı sizce?

Huzeyfe ÖNAL: En temel önlem bu işe hazırlıklı olmaktır. Yoksa ne kadar iyi sistem kullanırsanız kullanın bir işe yaramaz. Bunun örneklerini hem Türkiye’den hem de dünyadan fazlasıyla verebiliriz.  Eğer DdoS saldırıları hakkında kulaktan dolma bilgilerin ötesine geçip, altyapınızı iyi çıkarıp bir saldırı esnasında neler yapılacağını bir prosedüre dökerseniz en ciddi saldırılarda bile ayakta kalma şansınız olur. Bu prosedürü dökebilmek için ağ altyapısının iyi bilinmesi, hizmet alınan ISP’deki iletişimlerin iyi kullanılması , TCP/IP bilgisi mutlaka gerekmektedir. Yoksa kağıt üzerinde güzel duran ama gerçekte işlemeyen bir prosedür olur.

Prosedür sonrası yapılacak ilk işlemlerden birisi teknik olarak kapasitenin ölçülmesi, altyapının buna göre –gerekiyorsa- tekrar dizayn edilmesi ve güçlü sistemlerin kullanılması olmalıdır. DdoS saldırıları genellikle oturum bilgisi tutan sistemlerde daha fazla işe yarar. Dolayısıyla oturum bilgisi tutan (TCP/UDP) tüm sistemlerin dökümantasyonları dikkatlice okunarak iyileştirmeler yapılmalıdır.

NGB: Bir DOS/DDoS saldırısı önlenmez ya da engellenmezse bu bize hangi anlamda yansır?

Huzeyfe ÖNAL: Prestij, maddi kayıplar, stres. Çok uzapa gitmeye gerek yok, Türkiye’de DdoS yüzünden hizmet veremeyip 3 günde 200.000 TL kaybeden şirketler biliyorum.

NGB: Bu durumda Türkiye’de bu saldırı türüne karşı önlem almalar ve bilinç açısında durum nedir? Yeterince ciddiye alıyor mu kurumlar?

Huzeyfe ÖNAL: Sadece Türkiye’de değil dünyanın çoğu ülkesinde DdoS saldırıları çok ciddiye alınmamaktadır. Bunun sebebi aslında her gün karşılaşılan bir saldırı tipi olmamasından ve insanların DDOS’u çözümsüz bir saldırı olarak bilmesinden.  Türkiye online işlem hacmini en hıslı arttıran ülkelerden birisi ama malesef ki online işlem servislerinde alınan güvenlik önlemlerinin çoğu bilginin/servisin gizliliğine yönelik, bilginin/servisin erişilebilir olup olmadığı genelde yaşanan kötü tecrüneler sonrası değerlendirilmekte.

NGB:Günümüz DOS/DDoS saldırıları çeşitlerine örnekler verebilir misiniz?

Huzeyfe ÖNAL: 2009-2010 yılları arasında ek sık karşılaşılan DdoS saldırıları: Syn flood, udp flood, icmp flood, http get flood ve dns flood .

NGB: Peki sizin kullanmış olduğunuz özel araçlar/sistemler var mı? Önereceğiniz ya da tavsiyede bulunabileceğiz araçlar var mı?

Huzeyfe ÖNAL: Ticari olarak DdoS’u engelleyen çok sistem var(ddos engellediğini iddia eden diyelim). Eğer iyi yapılandırılırsa bu sistemler belirli oranda ddos saldırılarına karşı çözüm olabilir. Ama burada anahtar kelime “iyi yapılandırılabilirse”. İyi yapılandırmak tamamen TCP/IP bilgisine ve ağ alt yapısınınhakimiyetine bağlıdır.

NGB: Son olarak hem DOS/DDoS  özelinde hem de genel anlamda güvenlik dünyasında dikkat çekmek istediğiniz konu ve tavsiyeleriniz nelerdir?

Huzeyfe ÖNAL: DdoS saldırıları bilgi güvenliği projelerinin, ötesinde tüm online projelerin en önemli bacağını oluşturur.  Bu bilinçle hareket eden yöneticiler sürprizlerle karşılaşmazlar, en ciddi saldırıda bile ne olacağını ve buna karşı neler yapılacağını daha önceden çıkarmışlardır. Geriye adım adım uygulamak kalır.

Benim tavsiyem güvenlik konusunda bir iş, proje yapmadan bunun gerçekten bilgi güvenliğine ne kadar uygun olduğunun ölçülmesi, kullanılacaksa ticari yazılımların mutlaka ciddi testlerden geçirilmesi ve ona göre karar verilmesi.

Burada bir nokta daha ön plana çıkıyor: ülkemizde teknik kapasitesi yüksek eleman sayısı çok az, bu kapasiteye sahip olanlar ya olmaları gereken yerlerde iş bulamıyorlar ya da daha iyi imkanlar sağladığı içib yöneticilik hevesiyle teknik çalışmalarını bırakıyorlar. Teknik olarak çalışan elemanların ek üstünde tutulmadığı bir ortamın ileriye doğru emin adımlarla gitmesi şans olur.

NGB: Röportajımıza vermiş olduğunuz samimi cevaplardan ve bizi kabul etmenizden dolayı teşekkür ederiz.

Related posts:

1. Güvenlik Röportajları #22 Huzeyfe ÖNAL
2. [Makale] SYNFlood saldırıları ve korunma yolları
3. Özgür yazılımlarla DDOS engelleme sunum dosyası

http://netsec.lifeoverip.net/category/netsec-ag-ve-guvenlik-bulteni-sayi31-03-08-2010/ adresinden okuyabilirsiniz.

Related posts:

1. Netsec Güvenlik Bülteni: Sayı 32 – 19.08.2010
2. Netsec Güvenlik Bülteni: Sayı 30 – 18.07.2010
3. Netsec Güvenlik Bülteni: Sayı 29 – 01.07.2010

Java Teknolojileri ve Programcıları Derneği’nin ev sahipliğinde, Java dergisinin sponsorluğuna gerçekleştirilen “Web Uygulama Güven(siz)liği 2.0″ konulu konferansa ait sunum dosyasına aşağıdaki adresten erişilebilir.

http://www.bga.com.tr/calismalar/web-insecurity.pdf

Etkinlik, sıcak bir yaz akşamı olmasına rağmen beklenmedik bir katılımla gerçekleştirildi. Katılımcıların sıcak kanlılığı ve organizasyonun mükemmel işleyişi sayesinde oldukca güzel bir akşam geçirdik.

Etkinliğie ait fotoğraflara ve yorumlara http://www.jtpd.org/blogs/item/jts-11de-neler-oldu–web-guvensizligi-semineri–huzeyfe-onal adresinden erişebilirsiniz.

Related posts:

1. [Etkinlik] Web uygulama güven(siz)liği 2.0
2. BIMY ’10 sunumu- Siber dünyada web uygulama güven(siz)liği
3. Hping Irc sunumu Loglari