Devam niteliğinde olan bu makalenin ilk bölümünü okuyabilirsiniz.
Attacks (Saldırılar)
Bilgi sistemleri üzerinden; zarar vermek, sistemlerin işleyişini engellemek ya da bilgi çalmak için yapılan çalışmalara atak (saldırı) denilmektedir.
Genel Saldırganlar
Þ Yetkili network kullanıcıları
Þ Endüstriyel ve plitik casuslar
Þ Suçlular
Þ Teröristler
Þ Bilinmeyen saldırganlar
Þ Hackerlar ya da lamerlar
Saldırganları internal saldıganlar ve external saldırganlar olarak ikiye ayırabiliriz:
Internal Saldırganlar
External saldırganlara göre daha fazla zarar verirler. Özelliklere varlıklara yakın olmaları hatta onları normal yollardan kullanmaları bu tür saldırıların en önemli özelliğidir.Yapılan güvenlik araştırmaları saldırıların çoğunun içerden ya da içerden kaynaklanan bilgi sızdırmalarıyla gerçekleştiğini göstermektedir.
External Saldırganlar
External saldırganlar genellikle internet üzerinden saldırıda bulunurlar. Bu tür saldırıların en önemli özelliği saldırgan hakkında çok fazla bir şey bilmiyor olmamızdır. Saldırı başka bir ülkeden ve başka bir ülkedeki server’lar üzerinden yapılabilir. Bu tür saldırılarda genellikle bir araç (malware) kullanılır.Bunun dışında saldırganları profesyonel ve amatör olarak da ayırmak mümkündür. Amatör saldırganların kullandığı yöntemlerden birisi sisteme müdahale edebilecekleri script’ler kullanmalarıdır. (Script kiddies)
Saldırıların Sebepleri
Þ Kişisel tatmin
Þ Parasal kazanç
Þ Meşhur olmak
Þ Terörizm
Þ Casusluk
Ataklar farklı şekilde sınıflandırılabilir. Tipik olarak yapılan sınıflama şu şekildedir:
Þ Aktif ataklar
Þ Pasif ataklar
Þ Password atakları
Þ Kod ve Kriptografik ataklar
Ataklar, dinleme (sniffing), engelleme (Dos), yaratma (virüsler) ve aldatma (spoofing) gibi de sınıflandırılabilir.
Aktif Ataklar
Aktif ataklar sisteme doğrudan zarar vermeyi, durdurmayı ya da bozmayı amaçlayan ataklardır. Atak yapan kişi (saldırgan) sistemi ya da servisi engellemeyi ya da kötüye kullanmayı amaçlar. Aktif ataklar genelde çabuk fark edilirler. Çünkü sistemi durdurur ya da bozarlar. Bunların bazıları: DoS/DDoS, buffer overflow, SYN attack ve Internet Protocol (IP) spoofing’dir.
Dos / DDoS – Denial-of-Services – Distributed Denial-of-Services
Çoğu DoS saldırısı network üzerinden yapılır. Aynı zamanda lokal makine üzerinden de başlatılabilir. Local olan DoS saldırıları genellikle daha kolay bulunur ve düzeltilebilir. Örneğin bir “fork bomb” ise sürekli olarak tekrarlanan saldırılarla, oluşturulan işlemlerle sistem kaynaklarının tüketimi sağlanır.
Fork Bomb
DoS atakların amacı:
· Þ Yetkili kullanıcıların erişimini engellemek. Network’e sızmak, normal trafiği engellemek.
· Þ İki bilgisayar arasındaki trafiği engellemek.
· Þ Şirketin önemli bilgilerini elde etmek ve onları kötü amaçlı kullanmak.
· Þ Servisleri durdurmak. Sistemleri kullanılamaz hale getirmek.
DoS Metotları:
Þ ICMP flood
Þ Smurf atak
Þ Ping flood
Þ Ping of death
Þ SYN flood
Þ Teardrop
Þ Peer-to-peer
Þ Permanent Denial-of-Service
Þ Banana
Þ Nuke
Þ Distributed atak (DDoS)
Þ Reflected atak
Þ Unintentional atak
Þ DoS flooding atak (emailler için)
Ana DoS atak türleri:
· Þ Smurf
· Þ Buffer Overflow
· Þ Ping of Death
· Þ Teardrop
· Þ SYN flood
Smurf
Smurf saldırılarında IP ping paketinin işleyişinden yararlanılır. Çok sayıda reply paketi ile hedefin gerçek trafiği alması engellenir. Bu tür ataklar “amplification attacks”, “smurf attack” olarak da adlandırılır. Smurf ataklarında; kurban bilgisayarın IP adresinden network’ün broadcast adresine Internet Control Message Protocol (ICMP) isteği (ping) gönderilir ve network üzerindeki bütün bilgisayarlardan kurban bilgisayara yanıt göndermesi sağlanır.
Smurf Attack
Resource Consumption Attacks Network (Kaynak Tüketimi Atakları) bandwidth gibi kaynakları hedefleyen ataklardır. Kaynak tüketimine yönelik ataklar genellikle küçük ya da orta ölçekli sitelere saldırmak için kullanılır. Bu ataklarda Digital Subscriber Line (DSL) ve cable modem bağlantıları kullanılır. Bunun dışında “Structured Query Language (SQL) Slammer” worm da network trafiğine yük getirir.
Buffer Overflows
Bilgisayar sistemlerinde kullanılan buffer’ların kapasitesinden çok veri gönderilerek sistemin bozulması ya da normalden fazla trafik oluşturarak iletişimin engellenmesidir. Saldırgan genellikle açıkları, buffer özelliklerini bilir ve ona göre sistemi zorlayacak bilgiler gönderir. Bu boyutu arttırılmış bir ping paketi olabilir.
Buffer Overflow saldırısı yazılımların zayıf yönlerini kullanır. Tipik “overflow attack”ları: Sasser wormdur.
· Ping of Death
Bu atağın amacı büyük boyutlu paket göndererek sistemi bozmaktır. Ayrıca IP paketleri taşıma sürecinde MTU (Maximum Transmission Unit) konfigürasyonu ile parçalara ayrılır. PoD atağı bu sistemi de bozmayı amaçlar.
Örnek:
Windows komut satırından:
ping -l 65550 192.168.1.X
Linux komu satırından:
ping -s 65550 192.168.1.X
· Teardrop
Bu tür saldırılar büyük IP paketlerinin parçalara bölünmesi sistemini kullanır. Parçalanan IP paketi bir paket ile alıcı sisteme paketin parçalarını belirtir. Teardrop saldırılarında saldırganlar bu parçalanmayı karıştıran ofset değeri üreterek alıcı sistemi bozmayı amaçlar. Overlapping, over-sized, payload paketler gönderilerek sistem bozulur.
NOT: IP paketlerinin (datagram) parçalanma işlemine IP fragmentation denir.
SYN Attacks
“SYN attack” bir DoS atağıdır. TCP/IP protokolünün bir eksikliği üzerine kurulmuştur. Transmission Control Protocol (TCP) oturumunda iki hostun iletişim kurmasında kullanılan üç-yollu el sıkışmayı (the three-way handshaking) kullanır.
SYN | SYN/acknowledgement (ACK) | ACK iletişimi
İlk olarak SYN paketini gönderen hosta SYN/ACK yanıtı verilir ve kendisinden ACK yanıtı beklenir. SYN atağında (SYN flood) saldırgan yalnızca SYN paketini gönderir ve kurbanın yanıt beklemesini sağlar.
SYN protokolü
1) Saldırgan yanıltılmış (spoofed/fake) IP adresini kaynak adresi olarak kullanarak çok sayıda SYN paketini kurban makinaya yollar.
2) Kurban alının her SYN paketi için onay paketini (SYN-ACK) gelen IP adresine yollar.
3) Adresin sahte olmasından dolayı kurban bir yanıt alamayacağından, SYN-ACK yanıtını sürekli göndermeye çalışılacak ve böylece hedef (kurban) bilgisayar meşgul edilmiş olacaktır.
DDoS (Distributed DoS) Atakları
Saldırı için birçok bilgisayarı kullanmak. Bir DDoS atağında kurban bilgisayar (zombie) kullanılarak saldırı yapılır. Bu anlamda bir ana kurban (kullanılan) bir de diğer saldırılan kurbanlar var.
Zombie: Hacker tarafından kötü amaçlı kullanılan Internet’e bağlı bir bilgisayardır. DDoS ataklarında iz bırakmamak için kullanılan aracı (başkasının) bilgisayarlar. Böylece saldırganın kimliği gizlenmiş olur.
Yaygın olarak bilinen DDoS atak araçları:
Trinoo,Tribe Flood Network ve Stacheldracht.
Session Hijacking
Client ile server arasındaki iletişimin arasına girmeyi, ve kullanıcının oturumunu ele geçirmeyi amaçlayan saldırılardır.“Replay” ve “Man in the middle” teknikleri kullanılır.
· Þ Session hijacking: Web session’ı arasında girmek.
· Þ TCP/IP hijacking: ssion Hijacking saldırganın TCP flow yönlendirmesi yapabilmesini sağlar. Ardından parola korumasını atlayabilir (telnet yada ftp de olduğu gibi)
·
“Man-in-the-middle attack” (MITM atak) da bu tür bir ataktır. TCP/IP orijinalinde güvenlik özelliklerine sahip değildir. “Man in the middle” ataklar TCP/IP protokolünün eksikleri üzerine kuruludur. Bir “Man in the Middle” atağı saldırganın bir görüşmeyi kesmesi ya da araya girmesiyle yapılır. Araya giren saldırgan “eavesdropping” gibi dinleme işlemlerini yapabilir.
MITM atakları ayrıca şu adlarla da kullanılır:
Þ Bucket-brigade attack
Þ Fire brigade attacks
Þ Session hijacking
Þ TCP hijacking
TCP/IP Hijacking
Saldırganın network üzerindeki bir hosta erişip onun üzerinden (spoofing) bir başka kurbana saldırmasıdır. Saldırgan iki kişi arasındaki güvenilir iletişimden yararlanır. TCP/IP hijacking ayrıca “active sniffing” olarak da adlandırılır. Network üzerindeki bir hosta erişen saldırgan onu bağlantısını mantıksal olarak keserek- aynı IP adresi ile başka bir bilgisayara bağlanır. Bir anlamda Session Hijacking içindeki bir adımdır. IP Spoofing ve MITM tekniklerini kullanır.
Hunt olarak bilinen bir araç özellikle Telnet ve File Transfer Protocol (FTP) session için hijack yapmada kullanılır. Diğer bir şekli de Web-tabanlı uygulamaların oturumlarını ve cookie bilgilerini kullanarak yapılır.
Replay Attacks
Saldırganın networke erişip; bir hostun gönderdiği paketleri kendisine geri göndermesidir. Böylece host, paketi yeniden göndermeye çalışacak ve meşgul edilmiş olacaktır. Örneğin; yaptığınız bir EFT’nin size sürekli geri dönmesi ve sizin onu her seferinde yeniden yapmanız.
Man in The Middle ataklarında olduğu gibi “random TCP sequence number” kullanımı, Secure Shell (SSH) ya da Internet Protocol Security (IPSec) gibi bir şifreleme bu saldırıları önleyebilir. Ayrıca “timestamp” kullanımı da replay ataklarını engeller.
Spoofing Atakları
Spoofing genel olarak saldırganın kendisine ait olmayan bir adresi ya da kimlik bilgilerini kullanılarak yaptığı ataktır. Örneğin; bir fake logon programı ile kullanıcının login bilgilerini alıp daha sonra onun hesaplarını kötüye kullanmak.
Yine tipik bir örnek olarak, domain adını yanlış adreslere yönlendirmek ya da masquerading (başkasının yerine geçmek/impersonate) verilebilir.
· Þ Masquerading.
· Þ Ingress/egress
· Þ Domain adını yönlendirmek.
· Þ IP kaynak adresini değiştirmek.
Spoofing işleminde saldırgan güvenilen bir IP adresine sahip olur ve ve onun bilgileriyle saldırır. Böylece hedef bilgisayar onun güvenilen bir kaynaktan geldiğini bildiği için anlaşılması en zor ataklardandır.
IP Spoofing
En tipik spoofing işlemidir. TCP/IP protokolü her hostun IP adresinin paketlere eklemesinin kötüye kullanılmasıyla sağlanır. Böylece gönderenin kimliği gizlenmiş olur. IP paketleri kaynak adresi (source) ve hedef (destination) adresi vardır. Kaynak adresi gönderenin IP adresidir.
IP Spoofing Proxy/Socks kullanarak veya IP paketlerini düzenleyerek yapılır. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC bağlantılarında IPyi gizlemek için kullanılır. IP paketlerini düzenleyerek yapılan IP Spoofing çok etkilidir ve genel olarak D.o.S saldırılarında veya session-hijacking yönteminde kullanılır.
·
E-mail Spoofing
Güvenilen bir sahte e-mail adresi ile mail göndermek. Ardından eklenen bir ek dosyası ile de hedefe saldırmak. Spoofing, e-posta başlıklarının değiştirilmesi ile iletinin orijinal göndericisi yerine başka bir yerden ya da kurumdan geliyormuş gibi gösterme işlemidir.
Web Site Spoofing / Web Spoofing
Saldırganın bilinen bir Web sitesi adresininin sahtesini kullanarak saldırı yapmasıdır. Örneğin; fake bir banka sitesi.
Phishing
E-mail ve Web site spoofing işleminin birleşimidir. Kullanıcıya sahte bir mail gönderilerek kullanıcının fake bir siteye çekilmesi gibi. Böylece kullanıcının yasal bir banka sitesine giriş için kullandığı bilgilerin fake site yoluyla elde edilmesidir.
Hoax Mail
Internet üzerinden gönderilen ve genelde “fazla iyi” bir hikaye ile bilgi ya da para sızdırmayı amaçlayan çalışmalar. Örneğin; e-posta adresi toplamak veya markaları karalamak için oluşturulan yalan haber içeren e-postalar.
War Dialing
PBX telefon santrallerine modem tarama (scanning) araçlarıyla saldırmak. War dialing işlemi, hedef sisteme karşı bir saldırı başlatmak amacıyla bir network’e uzaktan erişimi sağlayan açık modem bağlantılarını bulmak için modem numaraları çevirmektir.
Social Engineering (Sosyal Mühendislik)
İnsanları aldatarak ya da yanıltarak yapılan iletişim sonucunda bilgiler elde etmek ve onları saldırı amaçlı kullanmak ya da çeşitli saldırılarda kullanmak üzere bilgi hırsızlığı yapmak. “Sosyal mühendislik” olarak adlandırılan bu ataklar genellikle insan kaynaklıdır ve çeşitli iletişim teknikleriyle network güvenliğine ilişkin bilgileri elde etmeyi amaçlar.
Þ Kişileri inandırma yoluyla istediğini yaptırma eylemidir.
Þ Albenili e-posta ekleri, web hizmetleri. (too good to be true)
Þ ISP görevlisi kılığında kullanıcının şifresini öğrenmek.
Þ Banka personeli kılığında kişisel ve kredi kartı bilgilerini ele geçirmek.
Þ Teknisyen kılığında kurumun içine fiziksel olarak sızmak…
Sosyal Mühendislik Yöntemleri
Þ Sahte senaryolar uydurmak (pretexting)
Þ Güvenilir bir kaynak olduğuna ikna etmek (phishing)
Þ Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek
Þ Güven kazanarak bilgi edinmek.
Þ Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak
Þ Çöp karıştırmak — Çöpe atılmış CD, disket, kağıt, ajanda, not, post-it, … gibi eşyaları incelemek
Þ Eski donanımları kurcalamak – Hurdaya çıkmış, ikinci el satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek
Örneğin saldırganın şirkete telefon edip kendisini servis sağlayıcıdan arıyormuş gibi tanıtması ve karşıdaki kişiden şirketin bilgilerinin almasıdır.
Con artist
Sosyal mühendislik saldırılarının bir oyunculuk yaratıcılığıyla yapılmasıdır.
Diğer aktif ataklar ya da farklı adlandırmalar:
Chargen
Chargen – Character Generator bir IP servisidir. UDP paketi içinde rastgele sayı üretir. TCP port 19’un kullanıldığı bu sistemde; chargen DoS saldırısı ile iki aygıtın iletişimi bozulur.
DNS Poisoning
Cache poisoning, DNS poisoning ya da DNS cache poisoning olarak bilinir. DNS kayıtlarının bozularak kullanıcıları başka server’lara yönlendirilmesini sağlar. Bu sırada bir worm, spyware, Web browser hijacking programı ya da diğer bir kötü kod kullanıcının bilgisayarına indirilir.
Cache poisoning, URL poisoning ile ilgilidir. URL poisoning işlemi “location poisoning” olarak da bilinir. Internet kullanıcılarının davranışları izlenir.
FTP (File Transfer Protocol) bounce
FTP (File Transfer Protocol) bounce atağı FTP server ile diğer bir bilgisayar arasında bağlantı kurmayı amaçlar. Saldırgan kimliğini gizler ve FTP üzerinden erişim yapar.
ICMP attack
ICMP protokolünün yanıtı tetikleyerek yapılan bir ataktır.
Interception
Araya girme. Gönderici ile alıcı arasına girerek yapılan atak türüdür.
Aktif: İletişimin bir kısmını dinlemek.
Pasif: Routinely dinlemek.
Repudiation attacks
Repudiation atakları hatalı ya da yanlış bilgiler üreterek yapılır. Örneğin saldırgan şirketin e-mail sistemine girerek şirket müşterilere yanıltıcı mailler gönderir.
War Driving
802.11 Wireless networklerin bulunmasına ilişkin atak. Genellikle free wireless networklerinin bulmak ve belirlemek için kullanılır.
Nuke
Eski bir ICMP paket tabanlı atak türüdür. Sistemi bozmayı amaçlar.
E-mail spam ve Unsolicited Bulk Email (UBE)
Diğer bir tür DoS ise e-mail spam ve Unsolicited Bulk Email (UBE) olarak bilinen ataklardır.
Land Attack
TCP SYNC paketi gönderir. Paketin kendisini geriye göndermesi sağlanır. Hedef bilgisayara zarar verilir.
Pasif Ataklar
Pasif ataklar doğrudan saldırmak ve hedef bilgisayarı çalışamaz duruma getirmek yerine “dinleme” ya da “bilgi toplama” işlemi yapılır. Bu bilgiler daha sonra bir aktif atağa yardımcı olabilir.
Sniffing ve Eavesdropping
Sniffer network üzerindeki paketleri görmeyi ya da dinlemeyi sağlayan bir araçtır. Bu şekilde password, e-mail adresleri vb bilgiler elde edilebilir. Örneğin Tcpdump programı yaygın bir UNIX sniffing aracıdır. Bunun yanı sıra Solaris Snop vb araçlar vardır. WireShark ise grafik ortama sahip bir sniffing aracıdır. Bu yönteme karşı alınabilecek en etkin çözüm verilerin şifrelenmesidir.
Diğer bir tür dinleme aracı da “keylogger”lardır. Bu araçlar kullanıcının klavyesindeki basılan bütün tuşları kaydederler.
Packet sniffing: Instant mesaj oturumlarını izlemek. Ayrıca networkü monitor (izleme) ve analiz etmek.
Sniffing’e karşı zayıf protokoller: Telnet, http, SMTP, NNTP, POP, FTP, IMAP, ..
Aktif sniffing: Switch üzerinden yapılan.
Pasif sniffing: Hub üzerinden yapılan.
ARP Spoofing gibi atakları için bilgi toplanır.
Araçlar:
- Etheral: Örneğin Ethereal bir password dinleme aracıdır.
- Tcpdump komutları
- Netmon
- Ethercap
- Effetech (http sniffer)
- MSN Sniffer,
- ….
Bazı ataklar birden çok adla anılmaktadır. Bu nedenle farklı kaynaklarda farklı adlara rastlamak mümkündür.
Diğer pasif ataklar:
Footprinting
Hedefin (şirketin) profilini çıkarmak. Atak öncesi adımlardan ilki:
Web adresleri, server’lar vb. bilgilerin toplanması. Nslookup, tracert, vb araçlar.
1. Footprinting: Şirketin adı, adresi, vb ilk bilgileri.
2. Scanning: IP adresi, işlerim sistemi, vb bilgilerin elde edilmesi
3. Enumeration: Kullanıcı adlarını, bilgisayar adlarının elde edilmesi.
Backdoor (back doors)
İşletim sistemi ya da yazılım uygulamalarının bilinçli olarak bir açık kapı bırakılması. Böylece izleme işlemlerinin ve yetkisiz kontrol işlemleri yapılabilmesidir. Örnek: Loki, NetCaz, Masters Paradise, NetBus, vb. tipik örnekleridir.
Fingerprinting
Bir bilgisayar üzerindeki işletim sistemini belirlemek için kullanılır. Kullanılan tekniklerden birisi ICMP mesaj kotalarını kullanmaktır.
Port scanning: Port scanning girişimi ile işletim sistemi ve host tanımlanmaya çalışılır.
Password Atakları
Password atakları yaygın olarak yapılır. İki tür password atağı vardır:
Þ Brute force
Þ Dictionary-based atakları
Password atakları online ya da offline olabilir. Online ataklarda password’ler sistemden doğrudan alınır. Offline ataklar daha zordur. Ancak network üzerinde bir işlem oluşturmazlar ve “lock out” sorunu olmaz.
Brute Force Attacks
Bir tür Password Cracking yöntemidir. Password’ü tahmin etmek için deneme yapmayı içerir. Brut force’dan korunmanın amacı kompleks password kullanmaktır. Brute force saldırıları belli araçlarla yapılır. Bu araçlar olası karakter kombinasyonu deneyerek parolayı tahmin etmeyi sağlar. 8 karakterden uzun parolaların bulunması zaman alır. Brut force ataklar, dictionary ataklarına göre daha uzun zaman alır.
Birthday Atak
İnsanları aynı günde doğmuş olacakları varsayımından hareket ederek; MD5 içindeki keyleri bulmak için yapılan bir saldırıdır. MD5 (Message-Digest algorithm 5) bir hashing fonksiyonudur. Birthday saldırısı bir tür brut force saldırısıdır. Bir şekilde hash fonksiyonunu kırıp password’leri bulmayı amaçlar.
Dictionary-based Attacks
Brut force benzeri bir saldırı işlemidir. Bir dictionary (sözlük) dosyası kullanılarak password’lerin tahmin edilmesidir. Sözlük terimi kelimelerden oluşan bir veritabanında gelir. Bu veri parolanın kırılmasına yardımcı olur. Dictionary saldırısından korunmak için “kolay tahmin edilemeyen” parolalar girilmesi gerekir.
Zararlı Kod Atakları (Malicious Code Attacks)
Kod atakları özel olarak yazılmış “zararlı” programlar aracılığıyla bilgisayarlara zarar vermeyi amaçlar. Genel olarak malware ya da spefisik olarak trojan horse, virus, spyware, rootkit olarak adlandırılan bu programlar farklı şekillerde bulaşırlar ve çoğalırlar.
Kod atakları:
- Virüsler
- Worm’lar
- Trojan Horses
- RootKits
- Logic Bombs
- Spyware ve Adware
Zararlı Kod atakları (virüsler)
Virüs
Kendi kendine çalışmaz. Bir dosyaya bulaşır. Çalışabilir durumdadır. Dosyaları bozar. Dosyalara yapışır, onların üzerinden çalışır. Genellikle veri dosyalarını değiştirir, bozar. Mesajlar gösterir ya da işletim sisteminin fonksiyonlarını bozar.
Virüs çeşitleri:
Parasitic: Executive dosyaları etkiler.
Bootstrap Sector: Boot sektörde yerleşir.
Multi-partite: Birden çok özelliğe sahip. Örneğin Parasitic ve Bootstrap.
Companion: Var olan bir programın aynı adı kopyasının oluşturur.
Link: İşletim sisteminin bir programını bulmasını/çalıştırmasını bozar.
Data File: Veri dosyalarını bozar.
Polymorphic: Sistemi bozan tipik virüsler. Mesajlar verir ya da dosyaları siler.
Stealth: Kendini gizler.
Retrovirus: Antivirüs yazılımlarını bypass etmeyi amaçlar.
Armored virüs: Tanımlanamayan virüsler.
Phage virüs: Programları ve veritabanları değiştirir.
Macro virüs: Ofis programlarını bozmaya yönelik.
Virüsten korunmanın yollarının başında anti-virüs programları gelir. Bu programlar virüslerin tespitini ve yok edilmesini sağlarlar. Ancak sürekli geliştirilen virüsler olduğunu düşünürsek anti-virüs programının da güncel tutulması gerekir.
NOT: Virüsler .txt uzantılı dosyalara etki etmez.
Worm
Kendi kendine çalışır ve kendini kopyalar. Virüsler gibi bir dosya üzerinden (host) hareket etmezler. Örneğin sistemi restart etmeyi sağlayan bir worm. Genelde bellekte aktif kalan programlardır.
Bazı örnekler:
Þ Nimda
Þ SQL Slammer
Þ Blaster
Þ Morris
Þ Badtrans
Þ Code Red
Trojan Horse
Virüs gibi bir host dosya kullanmaz. Kendi başına bir programdır. Kopyalama ile çoğalmaz. Genelde server gibi çalışır. Buna bağlanılarak dışarıya bilgi sızdırılır. Trojan’lar iletişim programı, e-mail ya da Web sayfaları olabilir. Manuel olarak yüklenebilir, e-mail ile gönderilebilir ya da bir programla birlikte gönderilebilir.
Trojanlar hangi bilgileri elde etmek için kullanılır:
· Kredi kartı bilgileri
· Kullanıcı hesap bilgileri (logon name, password, vb)
· Gizli dokümanlar
· …
Örnek: Back Orifice
Rootkit
Kendisini gizleyebilen bir tehlikeli yazılım türüdür. Adı, UNIX’te kullanılan root kullanıcısından gelir. İşletim sisteminin temel bileşenlerini bozmayı hedef alır. Mevcut işletim sistemini virtual machine yapmak, uzaktan kontrol programları yüklemek gibi işlemler yapılır.
Logic Bomb
Bir tür virüs olan logical bomb’lar önceden belirlenmiş koşullara göre çalışırlar. Örneğin belli bir tarih ve zamanda aktive olmak gibi.
Spyware ve Adware
Spyware programları yüklendiği bilgisayar üzerinde spy (ajan) görevini üstlenir. Özel bilgilerin alınması ve sistem fonksiyonlarının bozulması gibi işlevlere sahiptir. Özellikle Internet üzerinden gelir ve Browser üzerinde çalışır.
AntiVirus Koruması
Þ Sisteme anti-virüs programı yüklenmeli
Þ Internetten çekilen dosyalar konusunda dikkatli olunmalı
Þ Bilinmeyen kaynaktan gelen e-posta’daki ekli dosyaları açılmamalı
Þ Paylaşılan taşınabilir medyalar virüs kontrolünden geçirilmeli
Vulnerability Scanning (Zayıflık Taraması)
Vulnerability scanning (System Scanning) hem saldırganlar için hem de güvenlik uzmanları için önemlidir. Bu taramanın amacı zayıf servisleri ve işlemleri bulmayı amaçlar. Vulnerability scanning için çok sayıda araç vardır. En basit örneği Nmap aracıdır. Bu araç bir “port scanner”dır. Host üzerindeki çalışan servisleri listeler ve işletim sisteminin türünü döndürür. Böylece ne tür atak geliştirilebileceğine ilişkin karar verilir.
Diğer yandan Microsoft’un Security Baseline Analyzer aracı şirketin güvenliğini sağlamak üzere; patch’leri ve konfigürasyonları listeler.
Vulnerabilities Scanning ile; Güvenlik delikleri (hole), yolları (flaws) ve kötüye kullanımları (exploits) tespit edilir.
Vulnerability Scanners/Araçları
Test Yöntemleri
Sistemlerin güvenlik analizlerinde aşağıdaki üç teknik kullanılır:
• Assessments (vulnerability assessments, threat assessments veya risk assessments)
• Audit
• Penetration Testleri
Bu testler saldırganların sistemlerinize girerek zarar vermesini önlemek için güvenlik açıklıklarının belirlenmesi ve kapatılmasına yardım ederler. Bu testler, sürekli yeni açıklıklar keşfedildiği için belirli periyotlarla tekrarlanmalıdır. Güvenlik analizlerinin her aşamasında kurumunuzla işbirliği şarttır. Senkron, en uygun yöntemi belirlemekte size yardım eder.
Test yöntemleri sisteminizin aşağıdaki bileşenlerine uygulanır:
Þ Public sunucular (web, dosya sunucuları),
Þ Şirket içi sunucular(veri tabanları), network cihazları (router, switch, vb.),
Þ Güvenlik mimarisi bileşenleri (firewall, proxy, erişim denetimi cihazları, vb.),
Þ Uzaktan erişim cihazları (terminal, modem, vb.) ve genel amaçlı servisler için kullanılan paylaşımlı iş istasyonları.
Zayıflık Analizi (Vulnerability Analysis)
Amaç, sistemlerin güvenliğini incelemek, problemleri anlamak ve iyileştirmeleri belirlemektir. Sistemlerinizin taşıdığı riskler belirlenir ve bunların giderilmesi için önerilerde bulunulur. Bu yöntem, kurum güvenlik politikalarının belirlenmesine de yardım eder. Kullanılan test araçları yardımıyla bilinen güvenlik açıklıkları, konfigürasyon hataları, sistematik olarak araştırılır, sonuçlar ve öneriler detaylı olarak raporlanır.
Audit
Kurumunuzun belirli güvenlik standartlarına uygunluğunu ölçmek için kullanılır. Güvenlik standartlarında sistem güvenliğiniz hem fiziksel hem de teknik olarak irdelenir. Kullanıcıların kaynaklarını nasıl kullanacağı belirtilir. Bu sayede güvenlik servislerinizin iyileştirilmesinde önemli girdiler sağlar.
Audit sırasında, zayıflıkları belirlemek için penetration testlerindekine benzer araçlar kullanılır. Bununla birlikte zayıflıklar belirlenince iş bitmez, sistem güvenliğinin değerlendirilmesinde birer input olarak kullanılır.
Þ Network güvenliğinize dışardan bir bakış açısı sağlar
Þ Sistemleriniz, açıklık belirleme araçları kullanılarak test edilir
Þ Bulunan açıklıklar ve çözüm önerileri detaylı raporlarlar
Auditler peryodik olarak yapılmalı. Periyot, tehditler, zayıflıklar ve riskler göz önünde tutularak belirlenmelidir.
Penetration Testleri
Bu testin amacı, sisteminizin güvenliğinin aşılabilir olup olmadığını belirlemektir. Muhtemel güvenlik delikleri belirlenir ve bunlardan birisinden sisteme girmeye çalışılır. Test sırasında tüm zayıflıkların bulunması yerine herhangi bir delikten sisteme girilmeye çalışılır. Dolayısıyla bu test zayıflık analizinden daha dar kapsamlıdır. Testte, kurumunuzun kullandığı teknolojiler incelenerek muhtemel açıklıklar belirlenir.
Daha sonra bu zayıflıklar kullanılarak sisteme girilmeye çalışılır. Penetration testinde iki metod kullanılır. Sistemleriniz önce kurum dışından test edilip, herkesçe bilinen bilgiler kullanılarak güvenlik aşılmaya çalışılır. Bu amaçla aşağıdaki testler yapılır:
Sistemin bileşenleri ve aralarındaki ilişkiler belirlenir.
· HTTP, FTP, SMTP, DNS, vb. servislerdeki genel güvenlik açıklıklarının varlığı test edilir.
· Network topolojisi, network bileşenlerinin yanlış konfigürasyonu ve kullanılan protokollerden kaynaklanabilecek açıklıkları belirlemek için testler yapılır.
· Kurum networkünde bilinen backdoorlar olup olmadığını anlamak için testler yapılır
· Kimlik doğrulama ve erişim denetimi servisleri test edilir
· Kurum içinden yapılan testte ise iç kullanıcılarca bilinen bilgiler kullanılarak sistemin güvenliği test edilir. Bu amaçla;
· Sistemde super user gibi bazı özel servislerin kullanıcılarının yetkileri elde edilmeye çalışılır,
· Bazı işlemleri, ilgili yetki olmadan yapmak için testler yapılır.
Gereksiz Servisler, Protokoller ve İşlemler
Atakların işletim sistemlerin ve servislere (web server gibi) yapıldığı düşünülürse gereksiz servislerin disable edilmesi (pasif hale getirilmesi) doğru bir yaklaşım olacaktır. Bununla birlikte protokoller, prosesler de aynı şekilde sistemin zayıf yanlarını artırmaktadır.
NOT: Servislerin durdurulması ya da disable edilmesi bu servise dayanan (dependent) diğer servislerin de durmasına neden olur.
Güvenlik İle İlgili Kurumlar
National Security Agency/Central Security Service (NSA/CSS) : Department of Defense (DoD) tarafından kurulmuştur. Askeri amaçlıdır.
National Institute of Standards and Technology (NIST) : US devleti tarafından geliştirilmiştir. Daha önce National Bureau of Standards (NBS) adıyla çalışmıştır. NIST kriptografi standartları ve bu alanda sistem ve teknoloji geliştirmektedir.
American Bankers Association (ABA) : Bankacılık ve finansal alandaki güvenlik düzenlemeleriyle ilgilidir.
Internet Engineering Task Force (IETF) : Network teknolojileri konusunda çalışmaktadır.
Internet Society (ISOC) : Internet uzmanlarının birliği.
World Wide Web Consortium (W3C) : WWW standartlarıyla ilgili kurum.
Comité Consultatif International Téléphonique et Télégraphique (CCITT) : Telekomünikasyon ve iletişim alanında çalışan bir kurum.
International Telecommunications Union (ITU) : Telekomünikasyon ve radyo iletişimi alanında çalışan kurum.
Kaynaklar:
http://blogs.msdn.com/b/vbertocci/archive/2008/03/11/the-tao-of-authentication-part-iii-last.aspx
http://secret-epedemiology-statistic.org.ua/1587052091/ch01lev1sec3.html
http://www.passwindow.com/security.html
http://www.owasp.org/index.php/Man-in-the-middle_attack
http://www.linuxfocus.org/Turkce/March2003/article282.shtml