You are on page 1of 24

Hack Teknikleri

Ahmet BERKA Y

Gebze Yiiksek Teknoloji Enstitusu aberkay@bilmuh.gyte.edu.tr

1. Giri~

Hazirlanan bu cahsma sonucunda, ozellikle internet kavrammm gelismesi ve yayginlasmasi sonucunda ortaya cikan bigisayar saldmlann (hack) nasil yapildigi ve ne gibi teknikler kullarularak gerceklestirildigi aciklanmaya cahsilacaktir. Bu sebepten dolayi bu saldmlan yapan saldirganlar (hacker) ve saldirgan cesitlerinden de konunun ozune bagh kalmarak deginilecektir.

Hazirlanan cahsma kapsammda oncelikle hack, hacker kavramlan tammlanacaktrr. Bu tammlama sonrasi hacker'lerin kullandigi ve surecsel smiflandirma ile ele alman temel saldm teknikleri aciklanarak, bu tekniklerin nasil yapildrgr konusunda detayh aciklama yapilacaknr.

Anahtar kelimeler :

Hack, Hacker, Hack Teknikleri, Engelleme, Dinleme, Degistirme, Olusturma

2. Onsoz

Bu bolum altmda hack, hacker gibi kavramlar tanimlanarak bu konunun daha iyi anlasilabilmesi icin cesitli istatistiksel cahsmalara yer verilecektir.

2.1. Jargon Dosyasi

Hacker kavrammm cikrs noktasi incelendigi zaman ilk olarak Massachusetts Institute of Technology'de (MIT) 1960 yillannda ortaya ciktigi gortilmektedir. Kelime, MIT'de okuyan ve hobi olarak "telefon veya tren yolu model yapimi, amator radyo yapimi, amator radyo yaymcihgi" sectikleri alanlan, uc noktalara da "sadece zevk amach olarak" test eden kisiler icin kullamlmaktaydi, Yaptiklan bu testlere ise hack etmek anlamma gelen hacking denmekte idi. Mikro bilgisayarlar ve mikro islemcilerin gelismesi ve yaygmlasmasi sonucu hobi alanlan olarak secilmeye baslanmasi hack kelimesine giiniimiizde kullamlan anlammi kazandirmistir. Hacker ve hacking islemlerinin kayith hale getirilmesi sonucunda hecker'ler ilk ve en genis sozliik olan Jargon Dosyasi'm olusturmuslardir.

Jargon Dosyasi, hacker kiiltilrii icinde yer alan terim, folklor ve gelenekleri anlatan bir tiir sozluktiir. Jargon Dosyasi'mn ilk versiyonlan MIT AI Lab, SAIL (Stanford AI Lab) gibi yerlerde 1975'lerde baslamistrr. Adi da dogal olarak AIWORD.RF idi. Jargon dosyasi 2 kez kitap halinde basrlrmstir. Bu dosyaya gore hack ve hacker kelimelerinin anlami asagidaki gibidir.

Hack:

Cok genis anlamda kullamlmaktadir. Jargon dosyasmm hack icin verdigi tamm:

1. Orijinalinde, gerekeni ortaya cikaran, ama iyicene yapilmayip cabuk kotanlrms is.

2. Tam gerekeni ortaya cikaran son derece giizel, ve olasihkla 90k zaman yiyen is,

3. Duygusal ve fiziksel olarak tahammul etmek. ''] can't hack this heat!"

4. Bir sey (tipik olarak bir program) iizerinde cahsmak, -"What are you doing?""I'm hacking TEeo.". Daha genel olarak, "I hack 'foo" yaklasik olarak "Too' benim esas ilgi alammdrr." ciimlesine denktir.

5. Zeka iiriinii saka,

6. Bir bilgisayarla bir hedefe-yonelik olarak degil de oyuncu ve arastirmaci

sekilde etkilesmek,

7. "hacker" icin bir kisaltma.

8. Bir tiir zindan oyunu olan Nethack icin kullamlan kisaltma,

9. [MIT] Biiyiik, kurumsal bir binamn merdivenlerini, can kenarhklanm ve buhar tiinellerini, cahsanlan ve (genellikle bu egitim kurumlannda gerceklestirildiginden) kampus polisini tedirgin edecek sekilde arastirmak, Bu faaliyet Dungeons & Dragons ve Zork gibi macera oyunlan oynamaya benzer bulunmaktadrr,

Hacker:

Orijinal anlami balta ile mobilya yapan anlammda kullamlmaktadir. Yine Jargon dosyasmda gore anlami:

1. Programlanabilir bir sistemin detaylanm kesfetmekten ve snurlanm zorlamaktan zevk alan kisi,

2. Biiyiik bir zevkle hata saplanti olacak sekilde program yazan kisi veya

programcihgm teorisinden 90k pratiginden hoslanan kisi,

3. Hack degerlerini "yarasiz amaclar icin denenen programlar" kabul etmis kisi

4. HIZh program yapabilen kisi

5. Bir program iizerinde ustalasrms veya islerini onun aracihgi ile yada onun uzerinde yap an kisi

6. Bir konu iizerinde uzmanlasrms kisi yada 90k hevesli kisi

7. Entelektuel olarak yaranlan smirlara yada yaratici snurlara meyden okumayi seven kisi

8. Zarah amaclar icin hassas bilgileri ele gecirmeye cahsan,

Hack kelimesi ve bunu yapan kisi anlamma gelen hacker kelimesi icin tam bir turkce karsihk bulmak giictiir. Fakat kavramlan yasadigimiz toplum icerisinde degerlendirdigimiz taktirde, bu kavramlarm cikismda veya olusumunda herhangi bir "turkce icerik olusturabilecek" katkirmz olmadigi icin olayi tamma yada baska bir anlamada populer hale getiren intemete bagh bilgisayarlara yapilan saldmlar olmustur, Bu sebepten dolayi hack veya hacker kelimeleri tiirkce de bilgisayara saldm veya saldirgan, bilgisayar korsam olarak anlam bulmaktadir. Fakat kavramlann dogusu ve orijinal dilinde kullamlan anlamlanna bakilacak olursak tiirkcedeki kullammmm tam dogru oldugu soylenemez, Bu sebepten dolayi cahsmanm

devammda hack ve/veya hacking, hacker kelimeleri orijinal lisanmda kullamldigi sekilde yazilacaktrr.

2.2. Hacking ve Hacker'Ilgin Geli~imi

Kisisel bilgisayarlann zaman icerisinde ucuzlamalan sonucu kullammlanndaki artist internet kullamcilanmn sayismi da artirrmstir. Intenet kullammmm artist internet uzerinde gerceklesen hacking olaylanmn artismi da dogru orantih olarak artirrmstir (Tablo 2.1.).

Tablo 2-1 Hack Miktarmm Yillara Gore Oram

CertlCC Yrllara Gore Rapor Edilen Olay SaYlsl

60000

52658
-
-

26829
-
21756
r-- -
9859
1334 2340 2412 2573 2134 3734 -= r-- -
6 132 252 406 773 - - - - - .
-- -- 50000

40000

U)

-

~ 30000

ca

en 20000

10000

o

1988

2000

Q1,2002

1990

1992

1994

1996

1998

Villar

Rapor edilen bu hacking olaylannm miktarlan dikkatlice incelenecek olursa kaydedilen hack olaylannm belirli periyotlarda anormal artislar yaptigi gozlenmektedir. Fakat bu artisi hacker sayismdaki bir artmanm sonucu olarak aciklamak dogru olmayacaktir. Bunun sebebi ise dimya iizerinde bulunan hacker'lerin sayisi ve yetenekleri bu artisi saglayamaz olmasidir. (Seki12.1.).

Cok Tehlikeli Yuzlerce
YlrtlCl Binlerce
Orta Seviye On
Baslangic
Duzeyinde Milyonla ~ekiI2-1 Hacker Kaliteleri Ve Tahmini Sayilari (CERT/CC)

Hack miktarlanmn bazi yillarda gosterdigi biiyuk altisarlann temel sebebi ashda cok daha tehlikeli ve onlenmesi gU(( sebepler icermektedir. Bu sebeplerin

basmda ise hacking tekniklerinin arnk elle yapilmaktan cikip tamamen otomatik hale gelmesinden dolayidir.

Onceleri hack edilecek bilgisayarlar ve 0 bilgisayar iizerinde cahsan isletim sistemleri, 0 sitemi ve bilgisayar tiplerini cok iyi tamyan uzun siire kullarucisi olan ve bu sistemler hakkmda akademik bilgi yamnda cok fazla pratik bilgiye sahip olan hacker'ler tarafmdan sanr sanr kod yazma "e1le" yolu ile hack edilirlerdir. Fakat zaman icerisinde bu yetenekli hacker'ler kendi islerini kolaylastirabilmek icin elle yaptiklan islemleri otomatik olarak yapabilen programlar yada program parcalan haline getirdiler. Asil tehlikede bu noktadan sonra ortaya ciktr. Cunkii bu programlar sayesinde konu ile ilgili cok az hatta hilt bilgiye sahip olmayan kisiler rahathkla hacking islemlerine girismeye basladirlar. Hacking kalitesi ve hacker yeteneklerinin gelisimi (CERT/CC) hakkmda verilen Tablo 2.2. yukarda sozti edilen tehlike ve gelistirilen temel tekniklerin detayh olarak belirtilmektedir.

Tablo 2-2 Hacking kalitesi ve hacker yeteneklerinin gellsimi (CERT/CC)

A u~ ~Ik S ~ ph ii stliica~i I) 1'111 '!jf S" R!9 qu i r~,d I ntwillQ da' If IK n o"w I ed 9 Q

_.

.1:N .... l!:h .. I!dI!'I ......... '4IoJltI[(; "-';o;,A'+

!I' .hl_..,.....iI,jjIr

nif;.J 11II imlilll'

_._JII'U ....... ifill ~1~«Jl

3. Bilgilendirme

3.1. Hack Tiirleri

Hack olaymm tiirlerini smiflandmlmak aslmda oldukca giictur. Bu gucliigun temel nedeni ise hack tiirlerinin gercekte tek baslanna bir hacking teknigi olmasi yamnda birkac tiiriiniin bir araya getirilmesi sonucu yine bir hacking teknigi olmasmdan kaynaklanmaktadir. Bu simflandirma yapihrken Yrd. Doc. Dr. Ibrahim Sogukpmar'm Veri ve Ag Guvenligi ders notlan temel almrmstrr,

Adi gecen cahsmada hack smiflandmlmasi, siirecsel ve islemsel smrflandirmaya aynlrmstir. Bu cahsmada ise temel olarak islemsel smiflandrrma icerisinde yer alan ve "araclar" bashgnn olusturan teknikler detaylandmlacaktir.

3.1.1. Siireesel Snuflandirma

Intemet'te gerceklestirilen hack'ing teknikleri temel olarak dort kategoriye sokulabilir.

!)ekiI3-1 Hack Tiirleri

o

,

. .

EUi!i ~

1. Engelleme: Sistemin bir kaynagi yok edilir veya kullamlamaz hale getirilir.

Donammm bir kismmm bozulmasi iletisim hattmm kesilmesi veya dosya yonetim sisteminin kapatilmasi gibi.

2. Dinleme: lzin verilmemis bir tarafbir kaynaga erisim elde eder. Yetkisiz taraf, bir sahis, bir program veya bir bilgisayar olabilir. Agdaki veriyi veya dosyalann kopyasim alabilir.

3. Degistirme: Izin verilmemis bir taraf bir kaynaga erismenin yam sira iizerinde degisiklik yapar. Bir veri dosyasmm degistirilmesi, farkh islem yapmak uzere bir programm degistirilmesi ve ag uzerinde iletilen bir mesajm iceriginin degistirilmesi gibi.

4. Olusturma: Izin verilmemis bir taraf, sisteme yeni nesneler ekler. Ag uzerine sahte mesaj yollanmasi veya bir dosyaya ilave kayrtlar eklenmesi.

3.1.2. Islemsel Snuflandirma

Genel anlamda bir hack; yontemler, kullamlan yollar ve sonuclan acismdan dusunulebilir. Bilgisayar yada bilgisayar agim hack etmeye cahsan kisi, istedigi

sonuca cesitli adimlardan gecerek ulasmak zorundadir. Bu adimlar asagidaki sekilden de goruldugu gibi araclar, erisim ve sonuclar seklindedir,

~ekil 3-2 Islemsel Stmflandirma

Hacker'ler --+ Araylar --+ Erisim r--+ Sonuclar --+ Amaclar 3.2. Araelar

Bu cahsmanm temelini olusturan hack tekniklerini belirten genel yapi, araclar bolumu icerinde degerlendirilecektir. Daha oncede belirtildigi gibi gunumuzde hacking olaylan belirli araclar yardmu ile yapilmaktadrr, Bu araclar ise asagida listelenen hack tekniklerine ulasabilmek icin kullamlmaktadirlar, Soz edilen hack tekniklerin, ve yazida araclar olarak degerlendirilen ve smiflandmlan hack tiirleri bu tiirlerin aciklamalan Tablo 3.1. detayh olarak verilmektedir.

Tablo 3-1 Hack teknikieri, Hack Tiirleri.

Hack Dinleme EngeUeme Olusturma Degi~tirme
Tiirleri
Sosyal Muhendislik DOS Virus Spoofing
Ping Tarama Email Trojon IP spoofing
Bombardment
Hack Port Tarama IP Servis Worm Email
Durdurma spoofing
Teknikleri lsletim Sisteminin SYN seli
Belirlenmesi
Sniffer NFS
Firewalking 3.3. Hack Teknikleri ve Tiirleri

Tablo 3-1 'de veri len hack turleri bu boliim altmda incelenecek ve ne tiir yapi icerisinde gerceklestirildigi aciklanmaya cahsilacaktir. Bu aciklama sistematik bir sekilde ve Tablo 3-1'e bagh kalmarak yapilacaktir, Tablo 3-1 'de verilen "Hack Turleri" ve bu turlerin alt bashklanm toplayan "Hack Teknikleri", detaylandmlacak fakat olaym teorik yapisma girilmeyecektir "Teorik yapilara Bolum 4'te incelenecektir" .

3.3.1. Dinleme

Ashda kedi basma bir hack tiirii olmasma ragmen butun hack yontemlerinin temelini olusturan olgudur "CERT/CC". Bir cok kaynak tarafmdan hacking

olaylanmn artmasmm en biiyiik nedeni olarak gosterilmektedir. Bunun temel nedeni ise hacker'ler kullandiklan dinleme yontemleri sayesinde hack edecegi sistem hakkmda hemen hemen tiim bilgiyi elde eder yada istedigi bilgiyi direkt olarak ag tizerinden ahr.

Dinleme yontemi ashnda temel olarak, agdaki bilesenleri dinlemek veya agl uzerindeki bilgiyi dinlemek olarak iki bashk altmda toplanabilir. Bunlardan birincisi Tarama, "Scan" ikincisi ise Dinleme'dir "Sniffer"

Scan islemi, temel olarak hedef agda bulunan bilesenleri ve bu bilesenlere erisim haklanm saptamak icin yapilmaktadir, Aktif sistemlerin belirlenmesi, isletim sistemlerinin saptanmasi, ve bu bilesenlerin ag iizerindeki konumlarmm belirlenmesi gibi asamalardan olusur, Scan, hedef agm yoneticisi ile aym bilgi seviyesine ulasana kadar bu surec devam eder. Ag haritalamasmm yapilma sebepleri asagida siralanmaktadir:

• Hedef agdaki tum bilesenler,

• Hedef aga ait olan alan adi, IP arahgi ve internet erisim hattmm ait oldugu kurumlar, kisiler, bitis sureleri,

• Hedef agdaki aktif bilesenlerin isletim sistemleri, surumleri, yama seviyesi.

• Sunucu sistemler iizerinde cahsan servisler, kullamlan uygulamalar ve yama seviyeleri.

• Hedef agdaki tum bilesenlere ve servislere erisim haklanmn belirlenmesi.

• Hedef agdaki tum giivenlik uygulamalan, erisim listeleri, surnmleri, yama seviyeleri surumleri.

• Hedef agdaki aktif bilesenlerin agdaki yerlesimi

Sniffing ise ag uzerinden gidip gelen bilgilerin dinlenmesine dayanmaktadir.

Sniffing islemini temel olarak detaylandirmak gerekirse TCP/IP protokoliinu kullanan bir Ethernet agmda bilgisayarlar birbiriyle haberlesirken IP numarasmi kullamrlar. Her bilgisayar konusacagi bilgisayarm ip numarasmi ogrenir ve gonderecegi paketlere o bilgisayann ip numarasmi yazarak yollar. Ancak ag uzerinden gelen binlerce paket icerisinde ise sadece kendi ip numarasi gecen paketleri dinler digerlerini filtreler. Boylece her bilgisayar kendisiyle ilgili olan bilgileri ahp gondermis olur. Sniffer programlar ise bu filtreleme olayim software olarak devre disi birakir ve agdaki tum paketleri dinler.

Dinleme temel olarak asagidaki konu bashklanm icerir:

1. Sosyal Muhendislik ,

2. Ping Tarama

3. Port Tarama

4. lsletim Sisteminin Belirlenmesi

5. Sniffer

6. Firewalking

3.3.1.1. Sosyal Miihendislik

Sosyal miihendislik "Social Engineering" olarak adlandmlan temel hack tekniginin, Hack Tiirleri smiflandirmasr icerisinde bulunan "Dinleme" bashgi altmda yer almasmm temel sebebi insan "operator" faktoriinun ag elemanlanndan biri olarak kabul edilmesindedir.

Sosyal miihendislik temel olarak insan iliskilerini veya insanlann dikkatsizliklerini kullanarak kurum hakkmda bilgi toplamak olarak tammlanabilir, Bu olayda amac kurum yapisi, kurumsal agm yapisi, calisanlann/yoneticilerin kisisel bilgileri, sifreler ve saldmda kullamlabilecek her tiirlii materyalin toplanmasidir. Kuruma cahsan olarak sizmak, cahsanlarla arkadas olmak, teknik servis yada destek ahnan bir kurumdan anyormus gibi gorunerek bilgi toplamak, bilinen en omekleridir.

3.3.1.2. Ping Taramasi

Ping Sweep "ICMP sweep olarakta bilinir" belirli bir IP arahgmda aga bagh olan host'lann cahsip cahsmadigim kontrol eden temel ag tarama teknigidir, Tek bir ping genelde host'un aga bagh olup olmadigmi belirtirken, ping sweep bircok host'a ICMP (Internet Control Message Protocol) ECHO istegi gonderir ve cevap icin agl dinler. Eger yollamlan adresteki host aktif halde ise ICMP ECHO cevabi geri doner. Ping sweep yontemi, agl taramak icin kullamlan en yavas ve en eski yentemlerden biridir.

3.3.1.3. Port Taramasi "Port Scan"

Gunumiiz diinyasmda bircok isletim sistemi birden fazla programm aym anda cahsmasma izin vermektedir. Bu programlardan bazilan disandan gelen istekleri (istemci-c1ientlrequest) kabul etmekte ve uygun gorduklerine cevap (sunucuserver/response) vermektedir. Sunucu programlan cahsan bilgisayarlara birer adres verilir ( IP adresleri) ve bu adresler kullamlarak istenilen bilgisayarlara ulasihr, Ulasilan bu bilgisayar iizerindeki hangi sunucu programdan hizmet almak istendigi belirlemek ise port'lar sayesinde saglamr,

Bunun icin bilgisayarlar iizerinde birtakim soyut baglanti noktalan tammlamr ve her birine, adresleyebilmek icin positifbir sayi verilir (port numarasi), Bazi sunucu programlan, daha once herkes tarafmdan bilinen port'lardan hizmet verirken (om: telnet->23. port) bazilan da sunucu programiru cahstiran kisinin turune ve istegine gore degisik port'lardan hizmet verir. Dolayisiyla, ag uzerindeki herhangi bir sunucu programa baglanmak istenildiginde, programm cahstigr bilgisayann adresinin yamnda istekleri kabul ettigi port numarasmi da vermek gerekir.

Port numarasi genellikle 2 byte olarak tutulur. Bu nedenle 65536 adet port numaralamak miimkundur. Genellikle 1024 'ten kiiciik olan port numaralan ozel haklan olan kullamcilar (root) tarafmdan kullamhrken, biiyiik olanlar genel kullamma aciktrr,

Port Scanner'ler ise varolan bu port'lar otomatik olarak tarayan yazihmlardir.

Scan isleminin bircok cesidi vardir. Bu cesitler, hacker ve hacking yontemlerine karst

koymak icin gelistirilen yontem ve tekniklerin gelisimi ile dogru orantih olarak artmistir.

Temel Port Scan turleri asagida verilmistir:

1. TCP Connect Scan

2. TCP SYN Scan

3. TCP FIN Scan

4. SYNIFIN scanning using IP fragments (bypasses packet filters)

5. TCP Xmas Tree Scan

6. TCP Null Scan

7. TCP ACK Scan

8. TCP ftp proxy (bounce attack) scanning

9. TCP Windows Scan

10. TCP RPC Scan

11. UDP Scan

12. Ident Scan

Fakat bu Scan cesitleri anlatilmadan once konunun daha iyi anlasilmasi icin bilgisayarlann internet uzerinden bir birleri ile baglantisiru saglayan bir dizi ag protokolii olan Transmission Control Protocol'nun "TCP" nasil yah~tlgl incelenmelidir. TCP oturumu, ilk olarak, bir sunucu bilgisayardan servis isteyecek diger bilgisayar (istemci), baglanti kurmak istedigini gostermek icin SYN bayragi kalkiktset) paketini, sunucu bilgisayara gonderir, Bu paketi alan sunucu SYN paketi aldigim ve baglanti istegini onayladigmi yine SYN bayragi kaldmlrmstset) paketi (SYN-ACK paketi) istemci bilgisayara gonderir, Uctmcu asamada ise sunucu bilgisayann gonderdigi SYN-ACK paketini alan istemci bilgisayar sunucuya bu paketi aldigmi bildiren bir paket gonderir(ACK).

Seldl 3-3 Port Taramasi "Port Scan"

1E!8~ laMI , t:ile~

:;UllUGlJ

B

151:em~ ,A,

3.3.1.3.1. TCP Connect Scan

Bu tarama yukanda bahsi gecen oturum acma islemini tamarmyla yapar ve oturum acildigmda baglantiyi kesip bize port'un acik oldugu bilgisini verir. Bu tarama tiiriiniin iyi yam, oturumun acik oldugunu bire bir test etmesi oldugu gibi kotil tarafi da karst sistemin acilan biittin oturumlan kaydetmesi durumunda oturum acma istegini gonderen tarafm IP bilgisin karst sistemin veri tabamnda yerini alnus olmasidir. Sadece zorunlu durumlarda yada emin olunmasi gereken durumlarda risk ahnarak yapilan bir tarama tiiriidiir fakat kesin sonuc verir.

3.3.1.3.2. TCP SYN Scan

Yukanda bahsi gecen riski almamamiz rein oturumu acmadan taramamiz gerekir. Bu tarama tfuii yan-acik tarama olarak ta amhr, Sebebi yukanda anlatilan oturum acma isleminin ilk 2 asamasi olan SYN bayrakh paketi gonderme ve SYNI ACK bayrakh paketi alma islemini basanyla yapmasma ragmen ardmdan RST/ACK bayrakh bir paket gondererek oturumun acilmasmi reddetmesidir. Port'un acik oldugu sonucuna SYN/ACK bayrakh paketi almdigmda karar verilir. RST/ACK bayrakh paket oturumun resetlenmesi icin gonderilen pakettir. Boylece oturum acilmadigmdan kayitlara gecme ihtimalimiz azahr,

3.3.1.3.3. TCP FIN Scan

Eger bir port'u oturum aetna islemlerini kullanmadan taramak istiyorsak kullanabilecegimiz yontemlerden biri FIN taramadir. Eger bir sistemin port'lanndan birine FIN bayrakh bir paket gonderilirse RFC793'e gore sistem kapah olan portlar icin RST cevabr gonderir. Bize de acik olan portlann bilgisi kahr.

3.3.1.3.4. SYNIFIN Scanning Using IP Fragments

Bu Scan tip ashda yeni bir yontem degildir, SYN ve FIN ycntemlerinin gelistirilmis bir tfuiidiir. Bu yontemde bir arastirma paketi gondermek yerine paketi daha kiictik iki ii<; IP fragmenti olarak gonderilir, Kisaca TCP paketlerinin bashklanm paket filtrelesicilerinin isini zorlastirmak ve yapilan isin anlasilmamasi icin cesitli paketlere bolmektir,

3.3.1.3.5. TCP Xmas Tree Scan

Noel agaci anlamma gelen bu tarama tiiriinde hedef sistemin portuna FIN "No more data from sender", URG "Urgent Pointer field significant" ve PUSH "Push Function" flagh paket gonderilir ve kapah olan port'lardan RFC 793'e gore RST cevabi beklenir. Cevapsizlar yine acik port'Iardir,

3.3.1.3.6. TCP Null Scan

Bu tarama tfuii ise Xmas Tree'nin tersine hicbir bayrak tasimayan bir paket gonderir, RFC 793'e gore sistemin kapah olan portlanndan RST cevabi gelir.

3.3.1.3.7. TCP ACK Scan

Bu tip taramada temel mantik statik yada dinamik paket filtreleme de firewall'lann baglantiyi ilk baslatan tarafi hatirlayamamasidir. Bazi firewall'lann onaylanmis baglantilara izin verdigini de dusunursek bu ACK "Acknowledgment field significant" paketin firewall yada router'lann icinden engellenmeden gecmesi ve hedefe ulasmasi mtimkiin olabilir. Bu sekilde Firewall'lan bypass ederek hedefe ulasip hedefin port'lanm tarama sansi kazanmz,

3.3.1.3.8. TCP Ftp Proxy (Bounce Attack) Scanning

RFC 959 tammma gore ftp protokoltlniin dikkat cekici bir ozelligi de proxy ftp baglantisma izin vermesidir. Bu tiir scan tipi ise bu ozelligin yarattigi acigi kullamr. Cunku bu ozellik hacker.com'dan, kurba.com'un FTP server-PI (protocol interpreter) aracihgi ile kontrol haberlesme baglantisr kurulabilir. Bu baglann sayesinde, serverPI'e agdaki her hangi bir yere dosya yollayabilecek server-DTP (data transfer process) istegi aktif edilebilir. Bu acik ozellikle firewall arkasmda bagh bulunan bir ftp'ya baglandigmnz zaman sunucuya kendi port'lanm taratmasi saglandigi icin cok tehlikeli bit tarama turudnr. Cunkn firewall baypas edilmis olur.

3.3.1.3.9. TCP Windows Scan

Bu scan tum TCP Windows Scan raporlanndaki kusurlan dikkate alarak bazi isletim sistemlerinde portlann acik olup olmadigmi yada filtreli olup olmadigmi kontrol eder.

3.3.1.3.10. TCP RPC Scan

Bu tarama yontemiyle RPC (Remote Procedure Call - Uzak islem cagnlan) port'lanndan cahsan islemleri ve surumlerini anlama sansimiz olabilir.

3.3.1.3.11. UDP Scan

Bu teknik hedef porta udp paketi gondererek kapah olan porttan "ICMP port unreachable" mesajmm almmasi temeline dayamr. Eger bu mesaj gelmezse port'un acik oldugu anlasihr, Bu islemi yaparken oldukca yavas davranmak gerekir. Ozellikle de yogun islemlerin oldugu bir filtreleme cihazmm uzerinden scan yaparken.

3.3.1.3.12. Ident Scan

RFC 1413'te tammlanrms bir protokol olan Ident protokolu uzerine insa edilen bir tarama ttlrtidilr. Diger taramalar ile birlikte kullamhr, Hedef sistem iizerinde Identd aktif ise sistemde cahsan servislerin tam listesine ve bu servisleri cahsnran kullamcilann isimlerine ulasilmasi icin yapihr. Identd aktif durumda degil ise bu tarama tiirU islevsiz olmaktadir,

3.3.1.4. Isletlm Sisteminin Belirlenmesi

lsletim sistemlerinin belirlenmesi, temel olarak her isletim sisteminin belirli komutlar karsismda sadece kendine has cevaplar vermesinin kontrolii ile yapilmaktadrr. bulunmaktadir. Birkac yontem kullamlarak hedef sistemlerin isletim sistemleri saptanabilmektedir, bunlar Banner yakalama, Aktif TCP parmakizleri saptama, Pasif TCP parmakizleri saptama ve son olarak ICMP kullanarak isletim sistemi saptamadrr,

3.3.1.4.1. Banner Yakalama

Bu teknigin temeli bazi sistemlerde baglamlan portlarda giris mesajlanyla karsrlasilmasma dayanmaktadir. Fakat buna ek olarak giris yaptiktan sonra basit yontemlerle isletim sistemini saptamaya cahsmak gerekebilir. Asagidaki omekte Washington Universitesi FTP sunucusu kullamlan sunucuya baglanarak SYST komutunu verildi ve isletim sistemi tipi hakkmda ufak bir bilgi edinildi.

Trying 127.0.0.1. ..

Connected to localhost.localdomain (127.0.0.1). Escape character is 'A]'.

220 localhost.localdomain FTP server (Version wu-2.6.1-16) ready. SYST

215 UNIX Type: L8

Karsilama mesajlan icerisinde cahsan servis tiirU , isletim sistemi tiirU ve hatta uzerinde yuklu olan yamalar yeralabilir ; ancak bu bilgilere guvenmekte cok saghkh degildir, Ctinkii bu servislerde yapilabilecek ufak degisiklikler (kodunda yada ayar dosyalannda) bu boliimlerin sahte bilgilerle doldurulmasmi saglayabilir,

3.3.1.4.2. Aktif TCP Parmakizleri Saptama

Temel fikir isletim sistemlerine bazi TCP paketleri gonderilerek verdikleri cevaplan incelemek ve bu sayede isletim sistemini saptamaktir. Gonderilecek paketler icerisindeki cesitli flag'larla oynanarak , parcalanma isareti ile oynayarak , ack degeri yada servis turn gibi bilgilerle oynayarak gonderilir, Karsihgmda gelen paketlerdeki cevaplar icinde flaglara bakmak, pencere boyutuna bakmak yada gonderilen ve ahnan

ISNI ACK numaralanm incelemek gibi yontemlerlede hedefin isletim sistemi saptanmaktadir, Bu teknigin kullamlabilecegi araclar icerisinde Nmap ve Queso basi cekmektedir, Nmap bu aktif isletim sistemi saptama konusunda gercekten oldukca ilerlemistir, ciddi bir parmakizi veritabanammda barmdtrmaktadir.

3.3.1.4.3. Pasif TCP Parmakizlerini Saptama

Yukanda bahsi gecen yontemle arasmdaki en onemli fark ; aktif parmakizi saptamasmda hedefe cesitli paketler gondermek ve cevabmi beklemek esastir, ancak pasif parmakizi saptamasmda hicbir ozel paket gonderilmez ve boylece saldm tespit sistemi gibi sistemlerce yakalanma islemi gerceklesmez, Normal bir ftp, telnet, pop3, smtp, http gibi bir protokol kullamlarak hedefe baglamrken cahstmlan pasif parmakizi saptama yazihrm da gelen ve giden paketleri yakalayarak isletim sistemini saptamaya cahsrr,

3.3.1.4.4. ICMP kullanarak Isletlm Sistemi Saptama

Bu fikir Ofir Arkin tarafmdan ortaya anlrmstir ve ICMP'nin taramalarda saglayabilecegi yararlan Sys-Security Group adresinde yaymladigi ve 200'i.in iizerinde sayfa sayisma sahip olan bir dokiimanda aciklarmstrr. Basitce echo, timestamp, info, address mask gibi cesitli ICMP istekleri ile hedef sistemlerden bilgi toplamaya cahsmak birinci yontemidir. Birinci yontemde broadcast'e , hedeflere yada router'lara gonderilecek ICMP isteklerine verilen cevaplarla isletim sistemlerini saptamaya cahsir, Orne gin windows versiyonlan broadcast'e atilan echo isteklerini gozardi ederken kendilerine atilan echo isteklerini cevaplamaktadirlar. Ikinci yontemde ise bozuk IP paketleri gondererek hedef sistemden gelebilecek olasi cevaplan yorumlayarak isletim sistemini saptamak hedeflenmektedir. IP bashklannm boylanyla oynayarak ICMP parameter problem hata mesajmi hedeften almak , IP bashklannda gecersiz kayitlar kullanarak gelen ICMP Destination Unreachable (Hedef ulasilamaz) hata mesajim hedeften almak, Paket parcalama sistemini kullanarak bir ICMP Fragment Reassembly Time Exceeded (Paket birlestirme zamam asildi) hata mesajim hedeften almak ve son olarak UDP paketleri gondererek hedefin kapah portlanndan gelen ICMP Port Unreachable (Port ulasilamaz) hata mesajlanm incelemek temellerine dayamr. Ofir Arkin, ICMP ile hedefin isletim sistemini saptamaya cahsan "Xprobe" isimli bir aracta hazirlamistrr.

3.3.1.5. Sniffer

Sniffing ise ag uzerinden gidip gelen bilgilerin dinlenmesine dayanmaktadir.

Sniffing islemini temel olarak detaylandirmak gerekirse TCP/IP protokoliinu kullanan bir Ethernet agmda bilgisayarlar birbiriyle haberlesirken IP numarasim kullamrlar. Her bilgisayar konusacagi bilgisayarm ip numarasmi ogrenir ve gonderecegi paketlere o bilgisayann ip numarasim yazarak yollar. Ancak ag uzerinden gelen binlerce paket

icerisinde ise sadece kendi ip numarasi gecen paketleri dinler digerlerini filtreler. Boylece her bilgisayar kendisiyle ilgili olan bilgileri ahp gondermis olur. Sniffer programlar ise bu filtreleme olayim software olarak devre disi birakir ve agdaki tum paketleri dinler. Temel olarak iki tiirii bulunmaktadir.

3.3.1.5.1. Network Sniffing

Yukarda tammlanan temel sniffing islemine verilen isimdir. Geleneksel Ethernet agma yerlestirilene bir sniffer programi ile ag uzerindeki tum trafik dinlemektedir. Fakat Switch kullammmdan sonra 90k zor bir hale gelmistir,

3.3.1.5.2. Server Sniffing

Bu yontem ise ag uzerindeki server ulasarak bu server iizerinden agm dinlenmesine dayanmaktadir, Ag uzerindeki server kurulacak olan sniffer ag tizerindeki tum bilgiyi kullanicisma rahathkla yonlendirtebilmektedir.

3.3.1.6. Firewalk

Bu teknik sayesinde Firewall ile korunmakta olan aglar hakkmda ve Firewall hakkmda daha aynntih bilgi sahibi olunabilir. Aynca agm giivenligini ve potansiyel riskleri daha iyi gorme firsan da kazamlrms olur. Bu teknik gelismis bir ag ve TCP/IP altyapisi gerektirmektedir. Firewalk traceroute gibi IP paketlerini analiz ederek , hedefe paket filtreleme cihazmm icinden gecerek ulasmayi saglar, Paket filtreleme cihazlanndaki erisim kontrol listelerini yada Firewall iizerindeki izin verilen portlan saptamayi saglayan bir yontemdir. Aynca bu teknik kullamlarak Firewall'un arkasmdaki agm bir haritasmi da cikartma imkanma kavusulur, Bu teknigin nasil cahstignu anlamak icin oncelikle traceroute 'un nasil cahstigiru anlamak gerekmektedir.

Firewalk TCP ve UDP paketlerinin IP TI'L'Ierini hedeflenen ag gecidinden gectikten sonra 0 olacak sekilde degistirerek taramalar yapar. Eger ag gecidi trafige izin veriyorsa paketi sonraki atlama noktasma verecek, paketler gecersiz olacak ve gelen TTL exceded mesaji ile de bu ortaya cikacaktir. Eger ag gecidi bu paket trafigine izin vermiyorsa muhtemelen bu paketleri gormezden gelecek ve hicbir cevap gondermeyecektir. Bu sekilde birbirini takip eden arastirmalarla ve hangilerinden cevap geldigi hangilerinden gelmediginin kaydedilmesiyle Firewall uzerindeki erisim kontrollistesi belirlenmis olacaktrr,

3.3.1.6.1. Traceroute

Traceroute , hedef bilgisayarlara giden en kisa yolu bulmak ve paketin gectigi ara sistemleri saptamak icin tasarlanan bir ag sorun giderme aracidir. UDP ve

ICMP paketleri gondererek IP paketlerinin TTL (Time to Live - Y asam Suresi) bilgilerini analiz eder. Varsayilan deneme sayisi 3'tiir. Eger UDP paketi gondererek traceroute yapihyorsa port belirtme imkamda bulunmaktadrr, TTL bilgisi paketlerin gectikleri Router'larda siirekli olarak azaltilan bir degerdir, Eger paketlerin TTL'si her hangi bir asamada 0 olursa Router bir ICMP hata mesaji gonderir ve tasima sirasmda yasam suresinin doldugunu belirtir. Bu hata geri geldiginde paketin hedefe ulasamadigi anlasihr, TTL 1 'den baslar ve 2 sistem arasmda Router sayisi kadar artar ve ICMP cevaplan izlenir. Boylece paketlerin filtrelenip filtrelenmedigi yada paketlerin kaybolup kaybolmadigi gonilebilir. Hedeften gelecek cevaba gore (ICMP Port Unreachable yada ICMP Echo Reply) traceroute UDP portunu bir arttirarak denemeye devam eder.

3.3.2. EngeUeme

Tek basma bir hack smiflandirmasi olmasma karsm biiyiik ve belirli bir sistem icerisinde gerceklestirilecek olan hack olaylannda dinlemeden sonra gerceklestirilen ikinci adim oldugu gozlenmektedir. Bu bolum icerisinde engellemeyi amac edinen temel hack yontemlerinden bahsedilecektir.

3.3.2.1. DOS

Denial-of-Service yada kisaca DoS olarak adlandmlan hack yontemi yazihmlardaki hatalan kullanarak ya da sunucu veya ag kaynaklanm tiiketme yoluyla,normal kullamcilann erisimlerini engelleyecek sekilde.bilgisayar sistemlerini ulasilamaz hale getirme amaciyla yapihr, Bu tip hacking'lar yapihs tarzma bagh olarak sistemi veya sistemin sundugu hizmet yada hizmetleri tamimiyle devre dis; birakabilir. DoS tipindeki hacking'leri tehlikeli kilan bir baska yon ise cok eski tip makineler ve modemler ile cok karmasik ve sofistike sistemlerin devre disi birakabile olanagidrr. DoS tipindeki hacking'ler sistemler ve sistemlerin sundugu servislerin cesitliligi goz online almdigi zaman cok fazla ceside sahip oldugu sonucu ortaya cikar. Fakat DoS tipi hackin'leri ii<; temel bicime ayirabiliriz,

3.3.2.1.1. Kisith Kaynaklarm Tiiketilmesi

Bilgisayarlar ve aglar hizmet verebilmek icin bant genisligi, hafiza ve disk alam, CPU time, veri yapisi, diger bilgisayarlar ve aglara giris olanagi gibi temel islevlere ihtiyac duyarlar. DoS hacking'lerin en genel gorulen ti.irii ise bu kaynaklara yapilanlandir,

3.3.2.1.1.1. Network Baglannsi

Kaynaklara yonelik hack'lar arasmda en cok rastlanan DoS tipi hacking turudur. Bu turde amac servis saglayicmm yada agm haberlesmesini engellemektir. Bu tip hacking'lere en iyi omeklerden biri ise daha sonra detayh olarak aciklanacak olan SYN seli saldmsidir. Bu yontemde temel olarak dikkat edilmesi gereken husus

hackerin band genisligi ile i~ gormemesidir. Yani hacker cok yavas bir baglantidan cok hizh bir aga rahathkla ag baglantisiru yok etmeyi hedefleyen saldmlan yapabilmesidir.

3.3.2.1.1.2. 51(

5K saldmsi, kullamcr kaynaklannm kullamcmm kendisine karst kullamlmasma dayanmaktadir. Bu yonteme en iyi omeklerden bir UDP Port uzerinden gerceklestirilen hacking'dir. Bunun sebebi ise her hangi bir UDP servisi uzerinden baglanti kurulmasi sirasmda baglantmm kendi dogasmdan dolayi bu servis cok sayida paket uretir, Bu yontem ise bu paketlerin hedefe yonlendirilmesi ile gerceklestirilir, 5K yonteminin bir diger yan etkisi ise kullamlan makine sayisma bagli olarak agm kendisinde de bir yavaslama olmasidrr.

3.3.2.1.1.3. Band Geni~ligini Tiiketmek

Bu hacking sekli ise direkt olarak hedef agm cok fazla sayida paket ile yogunlastmlmasma dayanmaktadir. Genelde uretim kolayhgmdan dolayi ICMP ECHO paketleri kullamhr fakat teorik acidan her tiirlii paket bu yontem icin kullamlabilmektedir, Hacker'ler genellikle bu islem icin cok sayida makineyi belirli bir aga yonlendirirler.

3.3.2.1.1.4. Diger Kaynaklar Tiiketmek

Yurda da bir cogunu belirttigim gibi DoS' uygun bircok kaynak bulunmaktadir, Ornegin sistemler process bilgilerini (process identifiers, process table entries, process slots, etc.) kisith veri yapilannda tutarlar. Hacker'ler ise bu yapilan sisirerek sistemi devre disi birakmak icin bilgileri kopyalayarak sisiren cok kucuk programlar veya script'ler kullanmaktadir, Diger bir kisith kaynak olan disk alam ise yine gereksiz yer olusturulan "cok sayida mail mesaji iiretmek, log dosyalannm sayism cok hizh artirmak, aga paylasima acilrms olan veya ftp sevisine izin verilmesi sonucunda kaynaklann doldurulmasi" veri yaptsi sayesinde doldurulmasm ve sistemin cokmesine sebep olmaktadir.

3.3.2.1.2. Configuration Bilgilerinin Deglstlrllmesl Veya Silinmesi

Bu tiir DoS hacking yonteminin kullammi sistemin iyi sekillendirilmememsi veya yonetilememesine dayanmaktadir, Hacker bu aciklan kullanarak sistem icindeki ayarlar ile oynar ve ashnda normal olan fakat kullamlan sistemin sekline yada konumuna uymayan bilgileri girerek sistemi cahsmaz veya ulasilamaz duruma getirir. Bu yonteme verilecek olan en iyi omek router bilgilerinin degistirilmesidir. Bu islem sonucunda hedef ahnan ag tamamen yok edilir. Windows NT tip makinelerinde registry i.izerinde yapilacak olan degisiklikler sayesinde bir cok servis devre disi birakilabilir.

3.3.2.1.3. Fiziksel Deglsikllkler Veya Silmeler

Bu tip hack tfuii fiziksel girvenlik kavrami icerisinde yer almaktadir, Fakat sonuclan bakimmdan bir DoS hacking seklidir, Bu tur; yetkisiz bilgisayar girisine, router'lere fiziksel erisimi, kablo alt yapisma erisimi, enerji ve sogutma birimlerine ve sistemimiz icin gerekli olan kritik birimlerin erisimine dayanmaktadir,

3.3.2.2. Email Bombardment

Temel olarak bir DoS metodu gibi goriilmekle birlikte aslmda bir sistem kaynagma yok etmedigi icin gercekte baska bir engelleme hacking yontemidir. Bu metodun ash kurbamn mail adresine normalden cok fazla ve siirekli olarak kurbanm istemedigi Email mesaji yollanmasma dayanmaktadir, Yollanan bu mesajlar sayesinde kurban Email'ini temel amaci olan istedigi kisi ile haberlesmesi engellenmis olur. internet iizerinde kullamlan teknoloji ve yazihmlann gelismesi sayesinde artik bir cok gurup, topluluk veya kurulus yeni fuiin, haber veya olusumlannm otomatik olarak iiyeleri veya musterilerine Email sayesine haberdar eder. Hacker'in bu metotta kullandigi teknik ise kurbamm siirekli olarak bu uyan mesajlanm almasmi saglamaktir.

3.3.2.3. IP Servis Durdurma

Yanhs kaynak adresi bilgisiyle olusturulmus ICMP 'echo request" paketleri kullamlarak gerceklestirilen, cogu durumda hedef bilgisayann kilitlenmesine sebep olan, aynca hedef olarak kullamlan aglarda onemli derecede performans sorunlan yaratabilen bir hack teknigidir, Hedef alman bilgisayann IP adresinin "kaynak adres" olarak kullandigi sahte ICMP "echo request" paketlerinin hazirlanmasi ve bu paketlerin herkese yaymlanacak (broadcast) sekilde tum bilgisayarlara yonlendirmesinin saglanmasidir. Paket herkese yaym adresini tasidigmdan, ag iizerinde yer alan ve acik olan biitiin bilgisayarlar tarafmdan almacaktir. ICMP 'echo request' paketi oldugundan, paketin kaynak adres kismmda yer alan bilgisayara (hedef bilgisayar) ara hedef ag uzerinde yer alan her bilgisayar ICMP 'echo reply' paketi gonderecektir. Bu paketler de ara hedef ag trafigi uzerinde etkili olacak, performansi kotiilestirecektir. Saldirganm kullandigi paket boyu, gonderilme siiresi ve agda bulunan aktifbilgisayar sayisi arttikca performans dii~u~ii daha fazla olacaktir.

3.3.2.4. SYN seli

Bu metotta , bir bilgisayann istemci olarak bir bilgisayara el sikisma mekanizmasmi baslatacak SYN paketini gondermesi, buna karsihk sunucu bilgisayardan SYNACK paketini aldiktan sonra son paketi (ACK) gondermemesi ile olusur, Boyle bir durumda sunucu tarafmda acilrms fakat tamamlanmarms bir baglanti istegi olusacaktir. Bu baglanti istegi uzun bir sure dolumuna kadar acik tutulacaktir, Bu tur baglantilara yan acik baglantilar denir. Bu mekanizmamn kotiiye kullamlabilecek noktasi, arka arkaya belirtilen bu islemlerin yapilmasiyla ortaya cikar, Boyle bir durumda yan acik bircok baglanti olusacaktir. Herhangi bir hizmet bir

port uzerinden verilmektedir. Buraya gelen istekler bir kuyruga ahmr ve istemciden iir; yollu baglantidaki son paket gelene kadar kuyrukta tutulur. Dolayisiyla kuyruktaki tamamlanmayan baglanti isteklerinin artmasi kuyrugun dolmasma sebep olacaktir. Kuyruk doldugunda ise yeni gelen baglanti isteklerine cevap veremeyecektir. Dolayisiyla servis kilitlenecektir. Bazi sistemlerde bellek tasmasma sebep olacagmdan bu durum sunucu bilgisayan

3.3.2.5. Network File System

NFS (Network File System), ag tizerindeki bilgisayarlann dosyalanm birbirleriyle paylasmalanm saglayan bir protokoldiir. Ancak bu protokoliin aciklannm kullamlmasiyla, sistemi biiyiik zararlar verilebilecek bir saldmya acrms olursunuz. NFS uzun zamandir iizerinde cahsilan bir protokoldiir ve saldm programlan internette yaygm olarak bulunmaktadir, NFS'e yonelik saldmlar degisik sonuclar dogurabilir. Saldirgan hedef bilgisayar iizerinde super kullamct yetkisiyle islemler yapabilecek duruma gelebilir. Almabilecek onlemeler; Girvenlik duvanndan NFS servislerine ait paketlerinin gecisi engellenebilir. Aym seklide internet uzerinden bu servislere ulasim yasaklanabilir. Bu onlemeler NFS'e disardan gelebilecek saldmlar icindir, ir; agdan gelebilecek saldmlara hala aciknr.

3.3.3. Olusturma

Bu hacking tiirii ashnda amacr olarak tammlana bilinir. Bu asamadan soma hacker sisteme siznus ve amacma ulasrms olmaktadir. Daha onceki boliimler icerisinde detayh olarak bahsettigim araclar sayesinde bu tiir cok rahat gerceklestirilebilir hale gelmis ve tehlikesi had safhaya ulasmisnr.

3.3.3.1. Virus

Viriisler, kendi kodlanm baska programlara veya program niteligi olan dosyalara bulastirabilme ozelligi olan (kendi kodunu kopyalayabilen) bilgisayar programlandir.Bulastiklan bilgisayarda genelde hizh bir sekilde yayihrlar.Belli bir amaca yonelik olarak yazilmts, zarar vermeye yonelik olabilecekleri gibi eglence amaciyla da yazilrms olabilirler.

Virusler cogunlukla Assembly gibi dii~iik seviyeli bir programlama dili ile yazihrlar.Bunun asil 2 sebebi vardir.

1- Assembly'in cok giiclti bir dil olmasi:

2- Yazilan programlann derlendikten sonraki dosya boylanmn cok kiicuk olmasi

Bu ozelliklerin her ikisi de virus yazarlannm assembly dilini kullanmasi icin yeterli ve gerekli sebeplerdir. Viriisleri ozelliklerine gore smiflandrrmak pek miimkun olmasa da asagidaki sekildeki gibi bir sunflandirma yapmak yanhs olmayacaktrr, Ancak pek cok virus, pek cok ozelligi biinyesinde banndirabilir. Bulasma htzmi arttirabilmek amaciyla yapilan bu durum sonucu virus, bot sektorlere, mbr kayitlanna, programlara bulasabilir, Simdi de bu virus tiirlerinin isleyislerine bakahm

1. Disk virusleri : i. Boot

ii. MBR

2. Dosya virusleri :

i. Program (TSR ve nonTSR) 11. Makro virusleri

iii. FlashBIOS virusleri

3.3.3.1.1. Disk Viriisleri

Disk viriisleri, admdan da anlasilacagi iizere, disk ve/veya disketler iizerinde isletim sistemi icin ozel anlami olan bolgelere (boot sektor, MBR) yerlesen viriislerdir. Disk viriisleri, hakkmda en 90k yanlis bilginin oldugu virus tiiriidiir.Boot ve MBR virusleri, asagida da goreceginiz gibi isletim sisteminden once hafizaya yuklenir, Bu yiizden isletim sistemini kolayhkla atlan. Disk viriislerini boot ve MBR (partition) virusleri olarak 2 gurupta incelenecektir.

3.3.3.1.1.1. BOOT Viriisleri

Boot viruslerinin ne olduguna gecmeden once boot sektor nedir, disk iizerinde nerede bulunur, once bunlara bir bakahm; Boot sektor, bir diskin veya disketin isletim sistemini yiiklemeye yarayan 1 sektor (512 byte) uzunlugundaki bir programdir.Boot sektorler, disketlerde O.ci iz, O.ci kafa,l.ci sektor iizerinde bulunur. Hard disklerde ise boot sektoni O.ci iz, l.ci kafa ve l.ci sektor iizerinde bulunur.Boot sektor, acihs icin gerekli sistem dosyalannm yiikleyen programdir.Ayni zamanda disk (veya disket) ile ilgili bilgileri saklar.DOS buradaki bilgileri kullanarak cylider hesaplanm yapar.

N ormal kosullarda, bilgisayan baslatabilecek durumdaki bir sistem disketini (viriissiiz) siiriiciiye takip bilgisayan actignmzda, bilgisayar ilk olarak disket siiriiciiye bakar.Eger siiriiciide bir disket var ise bu disketin boot sektorii hafizanm OOOO:7COO (hex) adresine okunur ve okunan boot sektor cahstmhr.Boot sektor, isletim sistemini yukleyerek denetimi isletim sistemine birakir.Eger bilgisayan boot edecek disket bir boot virusu iceriyorsa 0 zaman durum degisir.Bilgisayar, boot sektoru yine OOOO:7COO adresine okur ve akisi bu adrese yonlendirir.Disketten okunan boot kaydi, yapi olarak degistiginden dolayi, OOOO:7COO'daki kod viriisii hafiza icine yiikleyip, hafizadaki konumunu garanti altma alacaktrr.Vinis aktivitesi icin gerekli interrupt servislerini de kontrol altma aldiktan sonra orijinal boot kadidini okuyarak isletim sisteminin yiiklenmesini saglayacaktir,

3.3.3.1.1.2. MBR (Partition) Viriisleri

MBR viriisleri esas olarak, boot viriislerinden pek de farkh degildir.Ancak can alici bir nokta vardir ki, bu boot ve mbr viriisleri arasmdaki en onemli noktadir, Hard diskler kapasite olarak 90k farkh ve biiyiik kapasitede olduklanndan diskin DOS'a tamtrlmasi amaciyla MBR - Master Boot Record (Ana acihs kaydi) denilen ozel bir acihs programi icerirler.Bu kod diskin O.ci iz, O.ci kafa ve l.ci sektorii iizerinde bulunur.Yani disketlerde boot sektorun bulundugu konum, hard diskler icin MBR

yeridir.Master boot record, hangi disk partitionundan bilgisayann acilacagnn gosterir.Bu yuzden 90k onemlidir.Eger bilgisayar hard diskten boot ediliyorsa, 0 takdirde mbr ve partition table okunur.Aktifpartitiona ait boot sektor okunur.Bundan sonrasi boot sektor kismmdaki sistemin aynisidir.

3.3.3.1.2. Dosya Viriisleri

Dosya viriisleri acikca anlasilacagi gibi hedefi dosyalar olan viriislerdir.Dosya virusleri cogunlukla COM, EXE, SYS olmak uzere OVL, OVR, DOC, XLS, DXF gibi degisik tipte kutuklere bulasabilirler.

3.3.3.1.2.1. Dosya Viriisleri

Dosya viriisleri acikca anlasilacagi gibi hedefi dosyalar olan viriislerdir.Dosya virusleri cogunlukla COM, EXE, SYS olmak uzere OVL, OVR, DOC, XLS, DXF gibi degisik tipte kutuklere bulasabilirler,

3.3.3.1.2.1.1. Program Viriisleri

Program viriisleri, DOS'un cahstmlabilir dosya uzantilan olan COM ve EXE turn programlar basta olmak uzere SYS, OVL, DLL gibi degisik surucu ve kutuphane dosyalanm kendilerine kurban olarak secip bu dosyalara bulasabilirler.Dosya virusleri bellekte surekli kalmayan (nonTSR) ve bellekte yerlesik duran (TSR) olarak 2 tipte yazihrlar.

3.3.3.1.2.1.1.1. NonTSR Viriisler

Bellekte siirekli olarak kalmazlar.Kodlan oldukca basittir.Bellekte siirekli kalmayan viriisler sadece viriislu bir program cahstmldigmda baska programlara bulasabilirler.Viruslii program cahstmldigmda programm basmda program kontroliinii virus koduna yonlendirecek bir takrm komutlar bulunur.Viriis kontrolii bu sekilde ele aldiktan sonra virus kendisine temiz olarak nitelendirilen viriissiiz programlar aramaya koyulur.Buldugu temiz programlann sonuna kendi kodunu ekler ve programm basma da viriisiin kontrolii ele alabilmesi icin ozel bir atlama komutu yerlestirir ve kendisine yeni kurban programlar arar.Virus bulasma isini bitirdikten sonra cahstirmak istedigimiz program ile ilgili tiim ayarlan diizenleyerek kontrohi konak programa devreder

3.3.3.1.2.1.1.2. TSR Viriisler

TSR viriisler yapi olarak TSR olmayan viriislerden 90k farkhdir.TSk viriisler, 2 temel bolumden olusurlar.l.ci bolum; Viriisiin cahsmasi icin gerekli ayarlamalan yapar ve TSR olacak kodu aktiflestirir.z.bolum TSR olan kodun kendisidir ve TSR viriislerin hayati onemdeki bolumiidur.Bu tip viriisler, cahsmak icin sadece TSR

olmakla kalmazlar.Ayni zamanda cesitli Interruptlari (kesilmeleri) kontrol altma ahrlar.Boylece DOS iizerinden yapilan islemleri bile kontrol altma alabilirler.Ornek vermek gerekirse; TSR bir virus DIR, COPY gibi DOS komutlan ile yapilan -daha dogrusu yapilmak istenen- islemleri kontrol altma alabilir.Kullamcr DIR komutunu kullandigmda dosya boylannm 0 olarak gosterilmesi, dosya boylannm eksik gosterilmesi gibi islemler TSR bir virus icin cok kolaydir.

3.3.3.1.2.1.2. Makro Viriisleri

Makro viriisleri Word, Excel gibi programlann makro dilleri ile (mesela VBAVisual Basic for Applications) yazihrlar.Aktif olmalan bazi uygulamalara (word, excel vs) bagh oldugundan program viruslerine oranla cok daha az etkilidirler.

3.3.3.1.2.1.3. FlashBIOS Viriisleri

FlashBIOS viriisleri tekrar yazilabilir ozellikteki BIOS ciplerine bulasirlar.

3.3.3.2. Trojan

Truva atlan, viriislerden oldukca farkh bir yapiya sahiptir.Asla baska programlara bulasmazlar. Belli olaylara bagh olarak tetiklenen bir rutindirler. Kendilerini kopyalayamadiklan icin bazi programlann icine bilincli olarak yerlestirilirler. Trojanlar, ilgi ceken, utility gibi programlann icine yerlestirilirler. Trojan kodu, trojanin icine gizlendigi programm yazan tarafmdan yazilrms olabilecegi gibi sonradan da programa eklenmis olabilir.Trojanlar ashnda kopya koruma amaciyla hazirlamrlar.

3.3.3.3. Worm

Kurt (worm) bagimsiz bir programdir. Kendi kendine cogalarak, bir bilgisayardan otekine kopyalamr, genellikle de bir network sistemine yayihr. Viriislerden farkh olarak, diger programlara sicramaz. Kutlar, veri yok etmemekle birlikte, network icinde dolasarak, iletisimi yok edebilir. Ancak, bir kurt veri yok edicisine de donusturulebilir. Viriislerden farkh olarak e-posta ve yedekleme ortamlanna ek olarak sunuculann zayifhklanm da kullanan, sunuculara zarar verip, cesitli saldmlar icin arka kapilar birakan, viriislerden daha zeki programciklardir. Verdigi zararlar ise yerel agdaki tum sistemlere e-posta kullanmaksizm bulasmak, Sunuculan servis disi birakmak, Web sayfasi icerigini degistirmek, Yerel agda yiiksek miktarda trafik olusturmak, intemet'teki belirli sunuculara veya rastgele sunuculara saldirmak.

3.3.4. Deglstlrme

Izin verilmemis bir taraf bir kaynaga erismenin yam srra iizerinde degisiklik yapar. Bir veri dosyasmm degistirilmesi, farkh islem yapmak iizere bir programm degistirilmesi ve ag uzerinde iletilen bir mesajm iceriginin degistirilmesi bu yonteme verilecek omeklerden bir kacidir. Fakat yontem en etkin sekilde Spoofing tipinde gOriilmektedir.

3.3.4.1. Spoofing

Spoof un kelime anlami oyun/parodi/kandirmaktir. Internet ortammda ise Spoofing birkac alanda karsnmza cikar, Spoof genel olarak IP'deki (Internet Protokolu) degerlerin oldugundan farkh olarak gosterilmesi demektir.

3.3.4.2. IP Spoofing

IP paketlerinin kaynak IP' sini degistirmekle saglanmaktadir. Boylece paketi alan hostun, paketin geldigi kaynak adresini bilmesini engellenmis olur. Host gelen paketin saldirgandan degil de kullamcidan geldigini samr.

4. Sonue

Gunumuz sistemlerinin cogu, sistem tasanmmda tum sistemi kontrol edebilen bir root kullamcisma sahip oldugu icin, uzak yada yerel root erisim zayifhgi sorununu icermektedir. Hacking tekniklerinin cogu da root erisim haklan ile cahsan process'lerdeki zayifhklardan yararlanmaya cahsirlar, ciinkii bir sistemde root erisimini elde etmek her sey demektir. Kisacasi gtintimiiz isletim sistemlerinden herhangi biri hakkmda "en giivenli sistem" tabirini kullanamayiz, tabiki Microsoft platformlanm zaten en giivensiz ve kararsiz sistemler oldugu icin bu konu dismda tutuyorum.

Basit olarak bir buffer uzunlugunun test edilmemesi, buffer overflow hatasma neden olacaktir ve bu da bir root erisim zayifligma neden olacaktir. Bu nedenle, eger giivenli bir isletim sistemi var oldugunu kabul etsek bile, 0 sistem yararlamlabilir bir buffer overlfow hatasi bulunana kadar en giivenli sistem olarak kalacaknr ve bu zayifhk yamalanana kadar ise en giivensiz sistem konumuna dusecektir.

Ancak tum bu problemlerden etkilenmeyen bir isletim sistemi vardir! En son network isletim sistemi olarak nitelendirilen, Bell Labs'tan Plan 9. Benim fikrime gore Plan 9 giivenlik konusu dusunulerek sifirdan iiretilmis simdilik en giivenli isletim sistemidir. Bell Labs yaklasik 35 yil once UNIX isletim sistemini tasarladigmda giivenlik konusu hemen hemen hie giindemde degildi, ancak 1990'larda Bell Labs, bu sefer yaklasik 25 yilhk tecriibesiyle yeni bir sistem iizerinde cahsiyordu ve en son network isletim sistemini iiretti, Bell Labs'm Plan 9 isletim sistemi.

Plan 9 neden giivenli? Onceliklc Plan 9 bir UNIX yada UNIX tlirevi bir isletim sistemi degildir, Plan 9 tamamen yeni bir isletim sistemidir. Gorunus olarak UNIX isletim sistemine benzemekle birlikte (dosya sistemi ve shell kullammi gibi), ashnda alt yapisi tamamen farkhdir ve farkh bir sekilde tasarlanrmsnr.

Plan 9'daki en onemli degisiklik tum objelerin (dizinler, dosyalar, processler .. ) bir dosya gibi dustinulmesidir. Aslmda UNIX sistemlerinde de bu boyledir ama Plan 9 sistemindeki kadar de gil.

Asagidaki paragraf Plan 9 ile ilgili basmda yaymlanan bir makaleden ahnnustir:

"Plan 9 bastndan beri bir network isletim sistemi olarak tasarlanmtsttr. Plan 9, istemci-sunucu modeline dayanan bir agda daguilmis islem fikrine dayanmaktadtr. Uygulamalara saglanan tum kaynaklar dagltllml§ sistemde transparant olarak herkese aynt sekilde saglanmaktadtr. "

Plan 9 process , file storage ve makine kavramlanm ayirmaktadrr. Bu sekilde merkezi bir dosya sistemi vardir ve bu giivenlik acismdan bir avantaj saglamaktadir. Bu yapi dosya yonetimini, dosya haklanmn kontrolii ve degisiklik gosteren dosyalann yakalanmasi islevlerini kolaylastirmaktadir.

Ancak Plan 9'un aS11 giizelligi, sistemde root fikrinin hie bulunmayisidir. Evet Plan 9 sisteminde root diye bir kullamci yoktur. Kullamcilar ayncahkh dosyalara yada processlere erisim saglamak icin MIT Kerberos benzeri bir sistemle onaylanmaktadirlar, Bu sistemde sifreler ag uzerinden hie bir zaman gecmemektedir, Ve kullamci processleri dosya sunucusu iizerinde hicbir zaman cahstmlmamaktadir.

Cracking ve hacking tekniklerinin buyuk cogunlugu root haklan ile cahsan processlerdeki zayifhklara dayamr, cfinkti bu haklara sahip bir processte bulunan bir zayifhktan yararlamlarak sistemde istenilen kodlar yine root erisim haklan ile caltstmlabilmektedir. Ancak Plan 9 sisteminde root olmadigi icin bu sekilde bir processte yoktur. Bu nedenle UNIX sistemlerine karst kullamlan gelismis teknikler Plan 9 karsismda basansiz olarak kalmaktadirlar.

Kisacasi giiniimiiz geleneksel isletim sistemlerini en giivenli en giivensiz diye smiflandirmak yersizdir, zira bu isletim sistemlerinin tumu giivenlik problemlerine karst aym tasanmi ve yaklasmu paylasmaktadirlar. En giivenli sistem olarak nitelendirecegimiz sistem basmdan beri giivenlik konusu diisilnulerek tasarlanrms, gerceklenmis olan bir sistem olmahdir.

Fakat gunumuzde kullamlan isletim sitemleri ve yaygmhklan dii~unUldugu zaman kisa vadede ahnacak tedbirler arasmda bence en etkin olam CERT/CC tipi yapilanmalann hizla baslatilmasi ve gelistirilmesi olacaktir.

Kaynaklar

1. Jargon Dosyasi, MIT, http://www.tuxedo.org/jargonijargon.html, 2002

2. Dr. Thomas A. Longstaff, Information Systems New Threats, New Responses Plenary Session 2: Panel Discussion, CERT® Coordination Center Software Engineering Institute Carnegie Mellon University, 2002

3. Fatih Ozavci, Giivenlik Riskleri ve Saldm Giivenlik Riskleri ve Saldm Yontemleri, http://www.siyahsapka.com. 2002

4. Cagil Seker, Hacker Kiiltiirii Civarlannda Karalamalar,

http://www.core.gen.tr/. 2002

5. Brian Harvey, What is a Hacker, University of California, Berkeley, http://www.cs.berkeley.edul-bhlhackers.html. 1985

6. Yrd. Doc. Dr. Ibrahim Sogukpmar, Veri ve Ag Guvenligi ders notlan, http://www.bilmuh.gyte.edu.trl?d=.ldocs/kisiler/ispinar.htm. 2002

7. Jeffrey S. Havrilla, CERT/CC Overview Incident and Vulnerability Trends, CER T® Coordination Center Software Engineering Institute Carnegie Mellon University, http://www.cert.org/presentlcert-overview-trends/cert-trendsmodules.zip, 2002

8. Christopher Klaus, Sniffer F AQ, Internet Security Systems Inc., http://www.boran.com/securitY/sniff.html. 1995

9. Mustafa ATAKAN, Internet Teknolojileri Guvenligi ,ODTU Bilgi lslem Daire Baskanhgi, http://security.metu.edu.tr/belge.php?what is port.txt, 2001.

10. Stuart McClure, Joel Scambray, George Kurtz, The Hacking Exposed, http://www.hackingexposed.com/home.html. 2001

11. David Goldsmith, Michael Schiffman, Firewalking, Cambridge Technology Partners Enterprise Security Services, Inc., http://www.es2.net. 1998

12. Jeffrey S. Havrilla, Denial of Service Attacks, CERT/CC,

http://www.cert.org/tech tips/denial of service.html , 2001

13. Email Bombing and Spamming CERT/CC,

http://www.cert.org/tech tips/email bombingspamming.html. 1999