Güvenlikçiler Nasıl Hacklenir? – I

Geçtiğimiz günlerde bir hacker grubu güvenlik piyasasının tanınmış isimlerinin bazılarının sitelerini(sistemlerini) hackledi. Hacklenenler arasında 2008 yılındaki meşhur DNS cache poisoning açıklığını bulan Dan Kaminsky ve hackerlik suçundan hapis cezası almış Kevin Mitnick de var.

Ilgili hacker gurubu hacklediği sistemlerden tüm bilgileri alarak internet üzerinden yayınladı, hacklenen sistemlerde çıkan güvenlik eksiklikleri ayrı bir yazının konusu olacak kadar geniş.

Hack olayının detaylarına baktığımda net olarak hangi sebepten sistemlere sızıldığını bulamadım.

Kisisel tahminlerim: sistemlerin tutuldugu hosting firmasında gerekli L2/L3 önlemlerinin alınmaması sebebiyle MITM olayının gerçekleştirildiği(Geçtğimiz yıl Metasploit.com bu şekilde hacklenmişti)diğeri de ilgili sistemlerde kurulmuş ama sonradan güncellemesi unutulmuş web yazılımlarında çıkan açıklıklar.

Her ne kadar ilkinin uygulaması  daha kolay olsa da günümüzde ikinci tip güvenlik hatalarına daha çok rastlıyoruz. Zira arp spoof  yapabilmek için hedef sistemle aynı hostingde aynı subnette bulunma zorunluluğu var. Unutulmuş web uygulamasını ise  herkes biraz deneyerek bulabilir.

Mesela bir CMS sistemi kurup üzerine çeşitli eklentiler koyuyoruz, güvenlik konusunda biraz dikkatli iseniz kullandığınız CMS yazılımını açıklıklarını takip ediyor ama CMS üzerindeki eklentilerin güvenliği genelde gözden kaçabiliyor. Ya da test amaçlı kurduğunuz x web uygulamasını unutuyoruz ve bir tarihte unuttuğumuz o sistemde ciddi güvenlik açığı çıkıyor ve bu açıklık bizim tüm sistemimizi hatta sistemimizin bulunduğu tüm ip aralığını riske sokuyor.

Geçenlerde her iki yöntemi de yaşadım. Gecen hafta saldırganın biri benim de sistemlerimin bulunduğu hosting firmasında bir Windows makineyi ele  geçirerek tüm networke arp spoof yapmaya başladı. Arp spoof sonrası aynı subnette bulunan diğer makinelere hiç ulaşılamıyordu, sanırım tecrübesiz hacker sadece arpspoof yapabilmişti ama kendisine gelen paketleri forward etmeyi başaramamıştı ya da başka bir sebepten makineler ulaşılamaz halde idi.

Kendi sistemimde gatewayin MAC adresi sabit girili olduğu için ben ulaşabiliyordum. Hemen sisteme girip tcpdump ile ağı dinlemeye aldım ve ortamda bir makinenin gateway için sahte mac adresleri yaydığını gördüm.

Saldırıyı yapan sistemi bulmak biraz zor oldu. Zira saldırgan MAC adresini spoof ederek arp poisoning yapıyordu.

Saldırı gecesinin sabahında ilgili makinenin yöneticileri uyarılarak önlem alındı fakat o networkde saldırıya maruz kalıp da cleartext protokol kullanan tüm uygulamalar hala risk altında.

Diğer maddeyi(unutulmuş eski web uygulaması) de dün yaşadım. Açmayı düşündüğümüz portal için 2-3 ay öncesinde bir forum yazılımı kurmuştum. Bir şekilde vakit ayıramadığım için portalın açılması gecikti ve ben de orada ne kurulu ne değil unuttum.

Dan Kaminsy’nin hacklenmesi sonrasında sistemlerimde ek güvenlik taramaları yaparken bir de ne göreyim üzerinde sağlam SQL Injection açıklığı barındıran bir forum uygulamasına sahipmişim. Hemen ilgili uygulamayı kökünden kazıyarak sistemde uzaklaştırdım ama sistemimde buna benzer kurup da kullanmadığım uygulamaların olmasından şüphelendim. Sistemime kurduğum her uygulamanın kaydını tutmuş olsam bu sıkıntıyı yaşamazdım.
Şimdi kullanacağım web uygulamaları için otomatik yama takibi yapan bir sistem arayışındayım. Yani ben kullanmak istediğim ve kurduğum sistemlerin isimlerini gireceğim, bir uygulama da günlük olarak bu yazdığım web uygulama/ve bileşenleri için gidip güvenlik duyurularını inceleyerek beni bilgilendirecek.

This entry was posted in Hacking Stories, Network Security, Web Security. Bookmark the permalink.

4 Responses to Güvenlikçiler Nasıl Hacklenir? – I

  1. Okyanus Eyupoglu says:

    Bilgilendirme icin cok tesekkurler.
    Sizde ricam , Linux bir serverim var burda kendi gateway’imdeki apr protokolunu arp spoofing den korunmak icin nasıl statik ypabilirim ?

    Selamlar.

  2. admin says:

    arp -s gateway_ip_adresi gateway_mac_Adresi

    komutu isinize yarayacaktır.

  3. sener says:

    bahsettginiz yama takip programini bulursaniz ve duyurursaniz biz de seve seve kullaniriz 🙂

  4. nessus u denedinizmi belki başka bir programla corole edebilirsiniz, yada raporlarından faydalanırsınız 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

4 × three =