google | Complexity is the enemy of Security

BGA CEH Eğitimi Notları #Gün 1 – Ders 2

Huzeyfe ONAL — Tue, 10 May 2011 19:17:22 +0000

ÜstNot:Bilgi Güvenliği AKADEMİSİ’nde verdiğim Beyaz Şapkalı Hacker eğitimi katılımcılarından bir arkadaşın ders boyunca aldığı kısa notlar. http://wug.blogspot.com

Eğitime katılmayan arkadaşlar için eğitim içeriği ve kalitesi hakkında ipucu verecektir.

Bilgi Toplama (Devam)

Arama motorlarından bilgi toplama
- Pentest tarafı için başka arama motorları da özelleşiyor, google devri yavaş yavaş kapanıyor.
- pipl.com
- google.com/linux vs.
- shodanhq.com <== SHODAN – ÖNEMLİ!!!
  - “default password admin” yazarak default şifresi admin olan siteleri sorgulayabiliyoruz mesela.
- Google Hacking
  - site:www.google.com => sadece bir uygulamada ara
  - allintitle:…
  - “Welcome to phpMyAdmin” => Bu geliyorsa google’da, şifresiz bir phpMyAdmin kurulu demektir.
  - Jboss => site:*.tr inurl:\jmx-console\
- clez.net

Aktif Bilgi Toplama

Karşı tarafa bilgi veriyoruz.
Karşı tarafta log tutulduğunu düşünerek hareket ediyoruz.
Önce DNS üzerinden bilgi topluyoruz.
- Zone transferi => domain’e ait bütün alt alanların tek yolu.
- who.is/nameserver/DNS_Sunucusu_Adresi ile o DNS sunucu üzerindeki tüm domainler. hepsiburada.com için örnekle.
- DNS sunucu versiyon bilgisi
- hackertarget.com => Alt domainleri bulmak için kullanılır.
- http://clez.net/net.dns?ip=tubitak.gov.tr#graph => Bulabildiği tüm subdomainleri listeler.
- Zone transferi genellikle kapalıdır. TCP Port 53 kapatılır bunun için.
SMTP üzerinden bilgi toplama
- Mail sunucunun iç IP bilgileri. Eğer engellenmediyse.
- Olmayan bir mail adresine mail gönderilir. Bounce özelliği devreye girerek mail sunucu böyle bir adres yok diye mail gönderir. Bu mailden alınan bilgiyle SMTP deşme başlar.
- En önemli başlık bilgisi “Received-By”
Network haritası çıkarma
- Router, firewall, IPS/WAF, Açık port bulma.
- Router çok önemli değil, firewall daha önemli, IPS/WAF daha da önemli…
- Ağ haritası çıkarma: Traceroute (tracert in Windows)
  - Layer3’te uğradığı makineler.
  - IPS, Layer2’de çalıştığından traceroute ile bulunamazlar.
  - Traceroute TTL (TimeToLive) bilgisini kullanır. Bu bilgi, istediğimiz anda bir araçlar değiştirebileceğimiz bir bilgi.
- HPING => Traceroute çalışma mantığı
  - hping -p 80 www.google.com -t 1 => ilk router paketi alır, “bu paket bende öldü” bilgisi gönderir.
- tcptraceroute => ICMP ve UDP değil, TCP üzerinden bu işi yapıyoruz.
- MALTEGO. İşin pratik kısmı. Bir domain’e ait tüm detaylar. Ücretsiz versiyonu günlük 60-70 kullanım sağlıyormuş sanırım. BackTrack içinde ücretsiz versiyonu var.
  - Kişi hakkında bilgi toplama için de kullanılıyor. Oldukça ilginç.
Özet:
- Bilgi toplama, testin belki de en uzun ve önemli kısmıdır.
- Subdomain için brute-force denemeler yapılarak sonuca ulaşılır. dig komutu kullanılabilir. NXDOMAIN yazdıysa bu domain yoktur; NO ERROR diyorsa var demektir.

Ağ Keşif Taramaları

Neyi tarıyoruz? Niye tarıyoruz?
- Whitebox – Blackbox
Tarama çeşitleri
- Host/ağ tarama
- Port tarama
- Ağ haritalama. Eskiden isteniyormuş firmalar tarafından, artık pek istenmiyor.
- OS belirleme
- Zafiyet tarama.
Aktif sistemlerin belirlenmesi
- ICMP tarama (Klasik Ping)
- TCP ping kavramı => hping -p 80 -S www.garanti.com.tr
- UDP ping kavramı
- ARP ping => Yerel ağ protokolüdür. Bütün trafik kapalı olsabile açık olanARP scan’e mutlaka cevap vermek zorunda.
Klasik ping, ICMP üzerindendi. ICMP Smurf ile DoS saldırıları düzenlendiğinden beri ICMP cevapları engelleniyor.
RFC konsorsiyum.
SYN paketi gönderdik. Response yorumlanır:
- RST döndüyse port kapalı
- SYN+ACK döndüyse port açık
- Birşey dönmediyse (makine açıkken) port filtreli.
NMAP!

NMAP

Komut satırından kullanımı daha esnek
-n => isim çözmeye çalışmasını engellemek için. Aksihalde yavaşlar sorgu. Mutlaka kullan!
ICMP (ayıp olmasın), TCP pinglerle önce makinenin açık olup olmadığına karar vermeye çalışır.
–packet_trace parametresi ile NMAP paket hareketleri izlenebilir.
-PN parametresi: Nmap makinenin açık olmadığını düşünüyorsa bile “sen karışma, tara” demiş oluyoruz.
15 farklı port tarama çeşidini destekler Nmap.
Sistemler üzerindeki firewall’lar (statefull firewall). Her bağlantı SYN ile başlamak zorundadır. Stateful firewall’lar ilk paket bu olmadığı zaman gelen paketi DROP eder, dolayısıyla SYN ile başlayan scan’ler harici ÇALIŞMAZ günümüzde!
Port tarama, TCP başlığındaki flag’lerle (SYN, ACK, RST, PSH…) yapılır.
TCP SYN Scan: -sS
- SA dönerse port açık
- R dönerse kapalı
- Cevap gelmezse “filtered”dır, hedef sistemin önünde güvenlik duvarı vardır.
nmap www.google.com –top-ports 10 –reason => En çok açık olan 10 portu tara, neden açık/kapalı/filtered olduğunu da bana raporla (–reason)
Bazı firewall’lar kapalı portlar için RST dönerken, bazıları cevap dönmeyebilir. Firewall’un politikası ile alakalı. Dolayısıyla yanıt dönmediğinde Nmap filtered diyecek ama kapalı da olabilir o port.
TCP Connect Scan: -sT => 3lü el sıkışmayı tamamlamaya çalışır.
Diğer scan türlerini unut: SYN, Connect ve … tarama türleri ile işimizi görelim.

The post BGA CEH Eğitimi Notları #Gün 1 – Ders 2 first appeared on Complexity is the enemy of Security.

BTK Google’u neden engelledi?

Huzeyfe ONAL — Fri, 04 Jun 2010 18:22:56 +0000

Malumunuz 3-4 günden beri çeşitli Google servislerine erişimde problem yaşanıyor. Sorunun temel sebebi Google servislerinin IP adresleriyle Youtube’un IP adreslerinin aynı olması.

Ülkemizde youtube.com da yasaklı olduğu için Google servisleri de ulaşılamaz halde.

BTK(Bilgi Teknolojileri ve İletişim Kurumundan)’dan yapılan açıklamaya aşağıdaki adreslerden erişilebilir.

http://www.tib.gov.tr/dokuman/bb_04062010.pdf

http://www.aa.com.tr/tr/google-yavaslayabilir.html

http://ekonomi.haberturk.com/teknoloji/haber/520422-google-yasaklandi-mi

Engellenen IP adresleri

Dns sorgularında www.youtube.com’a cevap olarak dönenler, Türkiye’den sorgulama yapıldığında.

209.85.227.100

209.85.227.101

209.85.227.102

209.85.227.113

209.85.227.138

209.85.227.139

209.85.135.138

209.85.135.113

209.85.135.101

209.85.135.100

209.85.135.139

209.85.135.102

74.125.43.100

74.125.43.101

74.125.43.102

74.125.43.113

74.125.43.138

74.125.43.139

Engellemenin zararları

Daha önce bu konuda defalarca yazmıştım ama tekrar etmekte fayda var. BTK bir yandan zombi makinelerle savaşmaya çalışıyor bir yandan da bu tip engellemelerle ülkemizdeki zombi bilgisayarların artmasına vesile oluyor. Nasıl mı? Buradan okuyabilirsiniz.

Yasaklamalar Internet’in doğasına aykırı işlemler, dolayısıyla siz birşeyi yasaklayarak aslında başka şeylerin önünü açmış oluyorsunuz. Burada önünü açtığınız şey aslından daha pahalıya patlıyor insanlara.

Engellemeyi nasıl aşabilirim?

Engellemeyi aşmak aslında çok kolay. /etc/hosts ya da Windows sistemlerdeki hosts dosyasına ulaşmak istediğiniz Google servislerini aşağıdaki ip adresine denk düşecek şekilde yazarsanız çalışacaktır.

209.85.227.106 docs.google.com

209.85.227.106 spreadsheets.google.com

Sık kullanılan Google servisleri için hosts dosyası örneği

209.85.227.106 code.google.com

209.85.227.106 pages.google.com

209.85.227.106 video.google.com

209.85.227.106 translate.google.com.tr

209.85.227.106 docs.google.com

209.85.227.106 sites.google.com

209.85.227.106 books.google.com

209.85.227.106 chrome.google.com

209.85.227.106 labs.google.com

209.85.227.106 notebook.google.com

209.85.227.106 toolbar.google.com

209.85.227.106 catalog.google.com

209.85.227.106 codesearch.google.com

209.85.227.106 dir.google.com

209.85.227.106 earth.google.com

209.85.227.106 groups.google.com.tr

209.85.227.106 wap.google.com

209.85.227.106 google-analystics.com

Tabi bu işlemden sonra eski dns cache(engellenen ip adreslerini barındıran) temizlenmelidir.

ipconfig /flushdns komutu dns cache temizleme için yardımcı olacaktır.

Ya da bazı arkadaşların test edip kullandığı Comodo DNS(156.154.70.22 156.154.71.22) leri kullanabilirsiniz fakat bu DNS’lerin dondukleri cevaplar Google’den alacakları yeni cevaplara gore degisebilir. O zaman tekrar ulasşım sorunu başgösterebilir.

Ek olarak Ultrasurf, TOR ve benzeri ücretsiz ama bilindik proxy servisleri kullanılabilir. Fakat proxy servislerinin güvenliği malesefki bilinmeyen bir konu. Dolayısıyla SSL olmayan hiçbir servis proxy üzerinden “kesinlikle” kullanılmamalı.

Bu arada Google ve servislerinin bizler için ne kadar vazgeçilmez olduğu da görüldü. Ben bir ara yapılanı bir tatbikat olarak değerlendirip herhalde BTK Google’suz nasıl yaşar bu insanlar sorusunun cevabını bulmaya çalışıyor diye düşündüm ama gerçek malesefki böyle değil.

The post BTK Google’u neden engelledi? first appeared on Complexity is the enemy of Security.