Gelişen teknoloji ile birlikte internet artık hayatımızın vazgeçilmez bir parçasıoldu. Ä°nternet iyi amaçlara hizmet etmek için geliştirilmiş olsa da günümüzde her türlü verinin taşındığıinternet ataklara son derece açık bir ortam oluşturmaktadır. Sadece internet üzerinde taşınan verilerimizin güvenliği değil, şirket içi ağımız içinde çok ciddi tehditler içermektedir. Pek çok zararlıiçeriğe sahip kodlardan oluşan programlar internet ile hızla yayılmaktadır. Her geçen gün yeni bir virüs, trojan ve spy üretilmekte ve savunma programlarımızıatlatmaktadır. Bizler ise her geçen gün yeni virüs, firewall vb programlar edinmekte veya elimizdeki ürünlerin update lerini kovalamaktayız. Güvenlik duvarı, 802.1x uygulamaları, sertifikalar, SSL vb pek çok yöntem ile kendimizi güvende hissediyoruz. Aslında bu doğruda, yani bahsi geçen uygulamalar sayesinde güvenliğimiz büyük ölçüde güçlenmektedir. Ama her zaman unuttuğumuz bir açık vardır ki o da şirket içi network tür. Evet, dünya üzerinde yapılan saldırıların %73 ü içeriden gelen saldırılar ve bilgi hırsızlıklarıdır. Aldığımız her önlem aslında şirket dışından gelecek ataklar içindir ama şirket içi her zaman bir açık olmuştur. Bende bu makalem de hafife aldığımız ve güvenli bölge olarak nitelendirdiğimiz şirket içi network de Cain aracınıkullanan bir çalışan veya kötü niyetli bir ziyaretçinin neler yapabileceğini anlatmaya çalışacağım. Daha sonra ise bunların önlemini nasıl alacağımızıhep beraber göreceğiz
Cain programıüzerinde pek çok özellik barındıran ve temelde network dinleme , dinleme sonucunda yakalanan paketlerin sınıflandırılması, şifrelerin görünür hale getirilmesi , wireless ağların SSID ve kanallarının tespiti , “man in the middle†olarak nitelendirilen ortadaki adam saldırısıile ağımızdaki iki makine veya birden çok makine ile bir gateway , dc , iis vb bir server arasına girerek bu server lara gelen istekleri kendi üzerine çekebilmektedir. Bu uygulamayıyapabilmek içinde ortamdaki switchlerin mac tablosunu bozmakta ve bunun sonucunda da istemci makinelerdeki arp cache’leri zehirlenmektedir ( Arp poisoning ) .
Cain programıbahsettiğim özelliklerden fazlasınıiçermekle birlikte en çok bilinen ve kullanılan özellikleri bunlardır. Bende birinci bölümünde genel olarak fiziksel ataklardan bahsetmiştim . Bu makalemde ise “man in the middle†olarak bilinen aynınetwork ortamında bulunan bilgisayarların verilerinin çalınmasıile sonuçlanan atak yöntemini anlatacağım .
Makaleye geçmeden önce , gene olarak sniffing hakkında bilgi vermek isterim.
“Sniff†İngilizce de “koklamak†manasına gelen bir kelimedir , biz IT ciler ise sniff kelimesini paket trafiğini izleme veya yakalama olarak algılarız. Sniffer ise bu işlemi yapan programlar denir . Piyasada pek çok sniffer programıvardır . Bunların bazılarılegal olup yani paket trafiğini izleyerek sorun çözmek için üretilse de bazılarıise sadece şifre ve özel yazışmalarıyakalamak için üretilmiştir. Örneğin “Ethereal†en çok kullanılan sniffer lardandır . Genel olarak paketleri yakalayıp analiz etmek için kullanabilirsiniz .
şekil – 1
Bir başka Sniffer programıise çok bilinen Cain dir . Ancak cain daha illegal işlemler için kullanılır . Çünkü paketleri yakaladıktan sonra güvenli verileri veya şifreleri kırmak için atak yapan veya clear text dediğimiz açık şifreleri de bize gösteren bir programdır.
Peki, nedir bu “man in the middle†namıdeğer “ortadaki adam†;
Amacımız aynınetwork üzerindeki paketleri yakalamak ve bunların içerisindeki özel bilgileri toplamak . Bir gateway sayesinde internete çıkan bir şirket ortamı, internet kafe , hava alanlarıvb pek çok yerde yapılabilecek bu atak son derece tehlikelidir . Gateway in ne olduğu bizim için çok önemli değildir , yani isa server , g.shdsl veya adsl modem , juniper , cisco vb . Çünkü biz bu gateway ler üzerine atak yapmıyoruz , amacımız insanların internete erişmek için yolladıklarıpaketleri , gateway den önce bizim üzerimizden geçmesini sağlamaktır.  Peki, bunu nasıl sağlarız ?
Bu noktada network üzerinde taşınan paketlerinin trafiğinin yönetimini iyi biliyor olmamız gerekmektedir . İletişimde bize en yakın olan obje “isim†dir . Yani web siteler veya bilgisayarlar için hep isim kullanırız , aslında bu isimleri arka planda ip lere dönüştüren DNS ve WINS gibi servisler vardır . Peki, elimizde IP adresi var bu iletişim için yeterli mi ? LAN ortamında iletişimin temeli switch ler ile gerçekleştiği ve switchlerin de Layer 2 ( Layer 3 switchler dışında ) cihazlar olduklarıiçin IP den anlamadıklarıve MAC ten anladıklarınıhatırlar isek aslında IP adresinden bir de MAC adresine geçmemiz gerektiğini fark ederiz. Burada ise yardımımıza ARP (Address Resolution Protocol ) koşmaktadır . IP adresini bildiğimiz fakat mac adresini bilmediğimiz makinelerin MAC adreslerini öğrenmek için ortama bir ARP Broadcast paketi yollarız ve IP adresi “x.x.x.x†olan makinenin MAC adresi nedir deriz , buna bu ip ye sahip olan makine cevap verir ve bizde artık MAC adres bilgisine sahip olduğumuz için iletişime geçeriz .
Bu bilgiler ışığında bir veri paketi yollarız , pakette IP Header kısmında ; hedef ip adresi , hedef mac adresi , kaynak ip adresi ve kaynak mac adresi yer almaktadır , bu paketi alan switch ise mac adres tablosuna bakarak paketi ilgili porta yönlendirir.
Yukarıdaki şekilde bir HP Procurve Switch teki mac adres table ıgörmekteyiz. MAC adreslerine karşılık olarak ilgili portlar belirtilmiştir.
Peki, biz bir network cihazıile iletişime geçmek istediğimizde her zaman ARP Broadcast mi atarız ? Öncelikle bilgisayarımız ARP cache ine bakar ve eğer cache içerisinde ilgili ip adresine karşılık bir mac adresi yok ise Broadcast atar. Bilgisayarınızdaki arp cache ini görmek için “arp –a†komutunu çalıştırmanız yeterlidir.
Bu komut sayesinde arp cache içeriğini görebiliriz. Benim network üzerinde görüştüğüm makinelere ait olan mac ler yukarıdaki şekilde görünmektedir.
Bu kadar ön bilgiden sonra atağın nasıl yapıldığına geçelim ;
Öncelikle cain ile yapılan arak internet ortamıiçin geçerli değildir , çünkü cain in bu ataktaki rolü , switch in mac tablosunu bozarak istemcilerin arp cache inin zehirlenmesini sağlamaktır . LAN ortamında iletişim switchler , yani mac ler ile sağlanır , oysaki internet ortamında mac yoktur , bu nedenle ip adresi de eşsiz olduğu için hedefin yerine geçemiyoruz .
Öncelikle atak yapılmadan önceki duruma bir bakalım . Benim mac tablom yukarıda şekilde , kurban olan 192.168.2.101 ipli makinenin mac tablosu ise aşağıdaki gibidir
Yapacağımız atağışema ile de göstermek gerekir ise ;
Yapılan atağın ismi “man in the middle “ olarak bilinir , ancak asıl yaptığımız arp spoofing tir . Yukarıdaki şekilde atak yapılmadan önce ortamdaki üç makinenin ip adresleri ve mac adresleri görünmektedir . Aşağıdaki şekilde ise atak yapılmadan önce ve sonrasındaki arp cache leri .
Burada atak yapıldıktan sonra “PC1†de artık adsl modem in mac adresi olarak bizim makinemizin mac adresi görünmektedir . Buda adsl modem e gönderdiği her paketin bize geleceği manasına gelmektedir .
Atak yapıldıktan sonraki network trafiği ise yukarıdaki gibidir . Â ADSL modem e giden her paket ve yine modemden dönen her paket benim üzerimden geçmektedir. Bu durumda paketleri analiz etmek şifreleri yakalamak için yeterli olacaktır .
Peki, bu eylemi cain ile nasıl yapıyoruz.
Cain programınıaçıyoruz ve yukarıdaki menüden “Configure†kısmına geliyoruz .
Bu ekranda sahip olduğumuz Ethernet kartlarında hangisini dinleyeceğimiz seçiyoruz.
Bu menüde ise atak yaparken kullanılacak ip adresi ve mac adresini belirleyebiliyoruz . Yani yapılan atağın kaynağının bulunmasınıistemiyorsanız yalancıbir mac ve ip adresi seçebilirsiniz.Hemen altında ise ARP Poisoning işleminin ( switch yardımıile istemci makinelerin arp cache lerinin zehirlenme işlemi ) hangi periyotlarda tekrarlanacağınıayarlıyoruz. Değeri düşürmeniz poison işleminin başarısınıarttırır ancak network de şişmelere neden olur .
Daha sonra , “sniffer†sekmesine geliyoruz , “Start/Stop Snifferâ€Â ( kutucuk içerisine alınmış düğme ) düğmesine tıklıyoruz ve ardından boşlukta herhangi bir yere tıkladıktan sonra “artı†düğmesine basıyoruz . Karışımıza çıkacak olan menüden de belirlediğiniz filtrelere göre network ortamındaki makine bilgilerini alıyoruz.
Ortamda ADSL modem ve iki adet makine bulunmaktadır . Cain kurulu makineyi burada göremezsiniz .
Yine sniffer sekmesinde iken alt menülerden “ARP†kısmına geliyoruz ve öncelikle “ “start/stop Arp†sonra “artık†düğmesine basıyoruz ve karşımıza aşağıdaki gibi bir pencere çıkıyor
Sol menüden yerine geçeceğimiz network cihazınıseçiyoruz , burada adsl modem yerine geçerek internet şifrelerini alacağız . Siz eğer hedef olarak DC yi dinlerseniz LM , NTLM bilgileri , SQL server ıdinlerseniz yine SQL kullanıcıbilgileri veya bir mail server ıdinlerseniz pop3 , SMTP şifrelerini alabilirsiniz . Hedef makineye göre alacağınız veri değişecektir , aslında temelde basit bir mantık vardır , neyin yerine geçer ve istemci yerine geçtiğiniz server veya network cihazına ne gönderirse bunu alırsınız . Örneğin adsl modem örneğinde , eğer kullanıcıbir web sitesine girer ve login olur ise web şifreleri gelir , bir ftp sitesine şifre ile bağlanır ise ftp bilgileri gelir , mail gönderme ve alma işlemi yapar ise pop3 ve SMTP şifreleri gelecektir . Bu nedenle bu son derece tehlikeli bir ataktır . Sol menüden yerine geçeceğimiz cihazın ip adresini seçtikten sonra sağ menüden kurbanımızıseçiyoruz , isterseniz tüm network u dinleyebilirsiniz , cain full routing yaparak trafiğin kesintiye upramasınıengeller ama yinede büyük yapılarda bütün network ü dinlemek switchlerin şişmesine neden olabilir .
Dinleme işlemini yukarıda görebiliyoruz , full routing sayesinde kullanıcıhiçbir şey fark etmeden paketleri yakalayabiliyoruz . Yakaladığımız şifreleri görmek için ise aşağıdaki “Passwords†sekmesine tıklamamız yeterli. ( RDP şifreleri için hemen bir altındaki menüye bakabilirsiniz ARP-RDP )
Yukarıda birkaç adet sitede deneme yaptım ve SSL li sitelerde dahil cain bana şifreleri göstermektedir . Ancak SSL li sitelerin şifrelerini almak için kullanıcıların dikkatsiz olmasıgerekmektedir . Bunun nedeni ise SSL li sitelerde cain web server ile istemci arasına girerek yeni bir sertifika üretir ve bu sertifikayıistemciye yollar , doğal olarakta cain in yeni ürettiği sertifika IE veya diğer browser lar tarafından güvensiz bir sertifika üreticisi olarak kabul edildiğinden ( aslında güvenilir sertifika üreticileri listesinde olmadığıiçin ) SSL li web sitelerinde girişte sertifika üreticisine güvenilmediğine dair bir uyarıgelmektedir.
IE üzerinde güvenilen sertifika otoritelerinin listesi.
Kullanıcıbuna rağmen bu soruya “evet†derse artık cain SSL li web siteleri içinde şifre yakalamaya başlar.
Sertifikayıincelediğinizde sanki IE nin güvenilen sertifika otoriteleri arasında yer alan “Thawte†firmasıtarafından üretilmiş olduğunu sanabilirsiniz , ancak bu sertifika gerçek bir sertifika değildir . Yine aynışekilde garanti internet bankacılığında da çıkan uyarıdikkate alınmaz ise yine buradaki şifrelerde alınabilmektedir.
Aynışekilde bu atak ile RDP şifrelerini de almak mümkündür . RDP ile hedef uzak sunucuya bağlandığında cain bu şifreleri yakalayacaktır . Ancak RDP webteki gibi clear text yani okunabilir metin şeklinde şifreleri taşımadığıiçin her zaman başarılıolamıyor . Başarısının artmasıiçin uzun süre ve yoğun trafik gerekli .Ancak basit şifreleri kolaylık işe çözümleyebiliyor .
Yukarıdaki şekilde iki adet rdp bağlantısıgözüküyor . şifresini öğrenmek istediğimiz bağlantıya sağ tıklamamız ve view dememiz yeterli . Karşımıza uzun bir text çıkacaktır , şifreyi arayacağımız yer ise aşağıdaki gibidir .
Peki, bu denli tehlikeli bir ataktan nasıl kurtulacağız ??
Makale sıralamasında öncelikle buna dikkat ederek IPSec makalelerini yayınladım , çünkü bu ataktan en maliyetsiz şekilde kurtulmanın yolu şirket içerisinde IPSec uygulamak olacaktır bu nedenle bu konuda yazılmış iki bölümden oluşan makaleyi okumanızıöneririm . Diğer çözümler ise donanım bazlıdır . Yani kullandığınız switchlerin mac adres tablosunu bir http ,tftp gibi bir ortamda tutup değişikliklerin kontrollü yapılmasınısağlayabilirsiniz , veya bazıswitchler de olan her porttan sadece bir mac adresi öğrenmesini sağlayabilirsiniz . Bu tür switchler maliyetli olduğu için her ortamda bulunamıyor o nedenle kullanıcılarınıza program yükleme yetkisi verirken bir daha düşünün !!!!.
Benim ise kullandığım bir yöntem daha var ; oda Xarp programı. Bu program ARP ataklarınıalgılıyor ve kullanıcıya uyarıvermektedir . Ancak program bilgisayar açılışıile beraber çalışmalı, bu program sizde çalıştığısürece yapılan ataklardan haberiniz olur . Bir diğer yöntem ise “arp –a†komutu ile arp cache ine baktınız , sonra “arp –d†ile temizlediniz , siz bir bilgisayar veya modem ile iletişim kurmadığınız sürece bir sonraki “arp –a†komutunda arp cache ini temiz görüyor olmanız gerekli , bunun yerine bir makine ip adresi ve mac var ise yine birileri illegal işler ile uğraşıyor demektir ( not : ancak unutmayın ki bu son örnekte size kimsenin normal yollar ile bağlanmadığından emin olmalısınız , veya çok yoğun kullanılan bir server dada bunu uygulayamazsınız . )
Xarp programının kullanımıçok basittir , program bir exe halinde olup tıklama ile çalışmaktadır .
Program arp cache ini göstermektedir . Bir değişiklik olduğunda ise ;
Bu değişikliğin kimin tarafından yapıldığını
Program sürekli açık durmayacaktır , bu nedenle simge durumunda iken bile bize yapılan ataklar konusunda uyarıvermektedir.
Peki, ARP atağınıyapanınasıl bulacaksınız ?? Bu noktada işiniz biraz zor , çünkü arağıyapan gerçek bir mac ve ip kullanmaz , eğer switch yönetilebilir bir switch ise sizi zehirleyen mac in hangi portta olduğuna bakıp atağın kimin tarafından yapıldığınıtespit edebilir veya sizde arp atağıyaparak bu atağıkesebilirsiniz , ama bu durumda ortalık bir hayli karışır ve switchlerin resetlenmesi gerekir .
Bu makalemde gösterilen bilgiler kötü amaçlıolarak kullanılmamalıdır . Amacım böyle bir atağın varlığından hepinizin haberdar olmasıve buna karşılık bu atağıbilen ancak kimse ile paylaşmayarak daha fazla insana zarar veren kişileri engellemektir . Unutmayın saldırının nereden geleceğini bilmeden savunma yapmak mümkün değildir.
Güvenli günler dileği ile .
Kaynak : http://www.oxid.it/cain.html
Powered by MightyAdsense
