Sayfayı Yazdır | Pencereyi Kapat

Hacker'lar sistemlere nasýl girerler ve yakalanýrlar !

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8964
Tarih: 23-11-2024 Saat 19:24


Konu: Hacker'lar sistemlere nasýl girerler ve yakalanýrlar !
Mesajı Yazan: megabros
Konu: Hacker'lar sistemlere nasýl girerler ve yakalanýrlar !
Mesaj Tarihi: 29-03-2011 Saat 10:23

Bu hikayedeki kurgu siber dünyada zaman zaman olmuþ olan gerçek olaylarýn bir bileþkesidir. Ýsimler ve diðer detaylar deðiþtirilmiþ fakat yazýlým ve teknolojiler gerçektir. Bu hikayede rapor edilen olaylardan biri yazarýn kendi deneyimlerinden alýnmýþtýr. Yazar hacking bilgileri ve hacker`lara karþý yaptýðý sayýsýz savaþlarla hem bilgisayar yeraltý dünyasýnda hemde güvenlik uzmanlarý arasýnda tanýnmaktadýr.


Mini sözlük:


Abednego:
Ýncilde bahsedilen, babilliler tarafýndan esir edilen ve bir ateþ duvarýný yürüyerek geçip hayatta kalan bir israilli.

Dogberry:
William Shakespeare`in 'Much Ado About Nothing'deki polis memuru.

Backdoor:
Bir bilgisayara normal güvenlik prosedürlerini geçerek gizli bir yoldan girmek.

Daemon:
Arka planda çalýþan bir otomatik program/servis.

Firewall:
Bir bilgisayar sistemini yetkisiz kiþilerin eriþiminden koruyan savunma yazýlýmý.

Rootkit: Hacker`larýn yaptýklarýný gizlemek için kurban makinaya kurduklarý bir program.

Sniffer:
Bilgisayar ve að aktivitelerini kaydeden program.


Hacker`lar sistemlere nasýl girerler... ve yakalanýrlar!


Sistemlere izinsiz giriþler çeþitli yollarla gerçekleþebilir çünkü Internet`e baðlý olan sistemlerin hemen hemen her zaman güvenlik açýklarý vardýr. Firmalar, iç aðlarýný korumak için güvenlik duvarlarý denilen yetkisiz kiþilerin eriþimini bloklayan güçlü savunma yazýlýmlarý kurarlar. Fakat, kararlý hacker`lar genelde güvenlik duvarýný geçmek için yollar bulurlar.

Abednego bir gün evinde bilgisayar baþýnda otururken IRC`ye girmeye karar verir. Güçlü iþletim sistemi Unix ile ilgili bir kanala girdikten sonra nete baðlý insanlarýn birbirleriyle birlik olmalarýný ve bilgi alýþveriþi yaptýklarýný izler. Sahne Star Wars filmindeki bar sahnesine benzemektedir.

Muhabbete katýlmak - ve diðerlerini etkilemek - için birisinin çok basit bir soru sormasýný bekler. Bu sayede katýlýmcýlarýn birbirine hakaret ettiði bir kavga - flame war - baþlatabilecektir. Tam o sýrada 'Dogberry' lakaplý biri ev hava istasyonu için bir cihaz sürücüsü yazmakla ilgili bir soru sorar. Abednego þansýný kullanýr. Cevabý 'RTFM' dir. Bunun açýlýmý 'read the f*****g manual' yani 'kahrolasý manueli oku(sana)' . (read the fine material'in deðiþtirilmiþ hali)

Diðerleri hakaretlere baþlarlar, ama Dogberry`ye deðil. Görünüþe göre soru Abednego`nun algýladýðýndan çok daha karmaþýktý. Dogberry`nin 'Çaylak!' cevabý hakaretleri daha da hararetlendirir. Rezil olan Abednego intikam almaya yemin eder.

IRC`deki 'finger' komutu ile email adresini öðrenir mailto:Dogberry@refrigerus.com - Dogberry@refrigerus.com . Abednego, Dogberry Unix`i bu kadar iyi biliyorsa refrigerus.com daki bilgisayarlarýn yöneticisi olabilir diye düþünür. Önsezisini onaylamak için telnet kullanarak mesaj sunucusuna baðlanýr. Sonra 'expn root@refrigerus.com' komutu ile Dogberry`nin gerçekten orda sistem yöneticisi olduðunu öðrenir.

Abednego, o anki güçlü duygularýyla, refrigerus.com daki açýk portlarý bulmaya yaracak olan bir port tarayýcýsý (strobe) çalýþtýrýr. Tarayýcý titizlikle (mesajlarýn gönderilip alýnmasýndan sorumlu olan servisler gibi) servislerden gelen cevaplarý kaydeder. Abednego her port`un açýk bir kapý olduðunu bilmektedir. Eðer servisin açýklarý varsa kullanýp sisteme girebileceði kapýlar.

Fakat strobe bir duvarla karþýlaþýr. Kesin olmak gerekirse, Dogberry`nin güvenlik duvarý. Bu güçlü savunma yazýlýmý içeri gelen her pakedi kesip, TCP/IP baþlýklarýný okur ve hangi port ile baðlantý kurmak istediðini bulur. Güvenlik duvarý bu isteði kendi katý eriþim kurallarýyla karþýlaþtýrýr. Bu durumda, refrigerus.com Abednego`nun bilgisayarýna sadece tek bir cevap vermeye karar vermiþti.

O andan itibaren, refrigerus.com`daki bir program Abednego`yu anlamsýz bilgi yaðmuruna tutar ve evdeki bilgisayarýna aþýrý yük bindirir. Diðer taraftan, baþka bir servis Abednego`nun servis saðlayýcýsýna mesaj atar ve birisinin refrigerus.com`a girmeye çalýþtýðýndan þikayetçi olur. Dakikalar sonra servis saðlayýcý bilgisayar suçundan þüphelenerek Abednego`nun kullanýcý hesabýný kapatýr.

Abednego gardý açýkken yakalanmýþ olsa da (çoðu servis saðlayýcý bu kadar çabuk ve ciddi davranmayacaktýr) fazla birþey kaybetmemiþtir. Kapatýlan hesap zaten onun servis saðlayýcýnýn sistemlerine girdikten sonra yarattýðý birkaç hesaptan biridir. Fakat o anda kapatýlan hesap kendisinin tamda hakaretler arasýndayken IRC`den düþmesine yol açar. Odadakiler ya Abednego`nun makinesi birileri tarafýndan çökertildiðini yada Abednego`nun saklanmak için kaçtýðýný düþüneceklerdir.

Abednego misilleme yapmak için yanýp tutuþmaktadýr. Bir sonraki adýmý gizli (stealth) port tarayýcýsý kullanmak olur. Bu tip programlar IP trafiðinin bazý özelliklerinden yararlanýrlar. Bir bilgisayar diðeriyle konuþmak istediðinde önce SYN (synchronize-senkronize) flag içeren bir paket göndermelidir. Pakedin baþlýðý ayný zamanda kaynak ve hedef adresleri gibi bazý diðer önemli bilgileri içerir. Cevap olarak, alýcý servis ACK (pakedi aldýðýný bildirmek için) ve gelecek olan baðlantýnýn koordine edilmesi için gerekli bir sýra numarasý ile SYN içeren bir paket geri gönderir. Ýlk bilgisayar geri dönen ACK/SYN`yi aldýktan sonra herþeyin tamamlandýðýný belirtmek için kendisi bir ACK geri döner ve böylece 3 yollu el sýkýþma (3-way handshake) gerçekleþir ve iki bilgisayar arasýnda bir oturum (session) baþlar.

Ve artýk baðlantýyý baþlatan taraftaki bilgisayar elindeki sýra numarasý ile diðer tarafa mesajýný gönderebilir.

Baðlantýnýn sonunda baþlatan taraf FIN (finish-bitiþ) içeren bir paket gönderir ve

alýcý bir ACK sinyali dönerek baðlantýnýn sonlandýðýný onaylar.

Abnego gizli (stealth) bir port tarayýcýsýnýn bilgisayardaki tüm portlara zamansýz bir FIN paketi göndererek bu durumdan yararlanacaðýný bilir. Genelde eðer bir port açýksa alýcý servis geriye bir cevap dönmeyecektir. Fakat bir port kapalýysa bilgisayar bir RST (reset-sýfýrla) paketi geri dönecektir. Ve bilgisayar 3 yollu bir el sýkýþma olmadan baðlantýyý tam olarak tanýmayacaðýndan bunu loglamaz. Böylece bir FIN tarayýcý herhangi bir baðlantý açmadan gizlilik içinde bir bilgisayarý tarayabilir. (Ama, Abednego`nunda yakýnda öðreneceði gibi, bir tek FIN pakedinde bile gönderenin kimliðini belirleyecek yeterli bilgi bulunabilir.)


Abednego hemen geliþmiþ bir gizli port tarayýcý bulmak için internette aramalar yapar ve 'underground' bir web sitesinde bulur. Program, diðer çoðu hacker araçlarý gibi, C programlama dilinde yazýlmýþtýr. Abednego tarayýcýyý C den evdeki kendi Linux platformunda çalýþan PC`sinde çalýþtýrýlabilir bir hale getirmek için derlemeye ve dönüþtürmeye uðraþýr.
Abednego`nun programý derlemede karþýlaþtýðý zorluk genelde olan birþeydi çünkü Unix`in çeþitli tipleri birbirlerinden farklýydý. Ve Abednego, pek çok hacker gibi, formal olarak bilgisayar mühendisliðinde okumamýþtý. Aslýnda, bazý hackerlar gibi, Abednego hiç mecbur kalmadýðýndan hiç programlama öðrenmemiþti. Bilgisayar suçlarýnda kullanýlabilecek hemen hemen bütün programlar internet`te hazýr yazýlmýþ, alýnmayý bekler olarak bulunabiliyordu.Hacker`ýn nasýl derleyeceðini bilmesi (yada bilen arkadaþlarý olmasý) yeterliydi.

Genç Dogberry baþka bir yol izledi. Yerel servis saðlayýcýda teknisyen bir arkadaþ edindiðinde bir aðý nasýl yöneteceðini öðrenmiþti. Uzun zaman önce Dogberry ve teknisyen arkadaþý bilgisayarlar girme ve savunma oyunlarý oynuyorlardý. Servis saðlayýcýnýn güvenliðini arttýrmada bunun yararlarýný gördüler. Bu baþarý ile, servis saðlayýcý onu part time iþe aldý ve diðer vakitlerde bilgisayar mühendisliði derslerine devam etti.
Böylece, Abednego Dogberry`yi ele geçirmeyi düþünürken, ilk hatasýný yapmýþtý bile. Dogberry bir beyaz þapka (white-hat) hacker`dý ve pek çok siber-savaþ yaþamýþtý.


Noktalarý birleþtirme

Þafak sökerken, Abednego sonunda kodu derlemeyi bitirdi ve yerleþtirmeye hazýrdý. Birkaç dakika içinde, FIN tarayýcý ona refrigerus.com`un sadece onaylanmýþ IPlerden gelenlere sunduðu servislerinin bir resmini çýkardý. Ýki tanesi, 'Secure Shell' servisi ve Web sunucu dikkatini çekmiþti.
Birden Abednego`nun yüreði hopladý. Sýradýþý bir port numarasý, 31659, FIN taramasýna cevap vermiþti. Baþka bir saldýrgan onden önce davranýp sisteme yakalanmadan giriþ saðlayacak bir 'backdoor' mu býrakmýþtý?

Çaðrý cihazýnýn sesi Dogberry`yi derin uykusundan uyandýrdý. Etherpeek, refrigerus.com aðýnda kurulu bir dinleme programý, port taramasýný yakalamýþtý. Dogberry hemen ofise gitti ve bilgisayarýnýn konsoluna geçip gelebilecek saldýrýlarý izlemeye hazýrlandý. En iyi savunma programlarý sadece o bilgisayardan ve fiziksel olarak orada olan biri tarafýndan çalýþtýrýlabiliyordu. Bu þekilde uzaktaki bir saldýrgan tarafýndan kurcalanamýyorlardý.

Bu sýrada, 31659 portunda çalýþan servisin çekiciliðine raðmen, Abednego þimdilik kovalamacayý býrakmaya karar verir. Birþey -hacker içgüdüleri- ona baþka bir gece geri dönmesini söyler. Böylece Dogberry iþyerine vardýðýnda hiçbir aktivite görmez.

Dogberry, sýradýþý saldýrýdan þüphelenerek bilgisayarýnýn loglarýný incelemeye baþlar ve hacker`ýn FIN paketlerinden kaynak adresini bulur. Bu bilgi ile Abednego`nun servis saðlayýcýsýna bir email atar ve sisteme giriþi bildirip kullanýcý hesabý hakkýnda detaylý bilgi ister. Fakat servis saðlayýcýdaki sistem yöneticisi bir gizlilik politikasýndan bahsederek, port taramanýn hiçbir kanunu çiðnemediðini düþünerek, Dogberry`nin isteðini geri çevirir.

3 gün sonra Abednego ava devam eder. Fakat servis saðlayýcýya baðlanmaya kalktýðýnda þifresinin çalýþmadýðýný görür. Tedirgin olur ve servis saðlayýcýyý aradýðýnda hesabýnýn FIN taramasý yüzünden kapatýldýðýný öðrenir. Fakat bu tip olaylar onun cesaretini kýrmaz. Aksine, artýk daha da kararlýdýr.

Kredi kartý numarasý ve baþka bir servis saðlayýcýya telefon ile bir kaç dakika sonra tekrar 'online'dýr. Fakat bu sefer daha dikkatlidir. Yeni hesabý ile baþka bir servisa saðlayýcýdaki hack ettiði baþka bir hesaba 'logon' olur. Oradan 'whois refrigerus.com' komutunu çalýþtýrýr ve alan adýnýn Refrigerators R Us adýnda ulusal bir parekendeci zincirine ait olduðunu öðrenir.

Sonra, Abednego 'telnet refrigerus.com 31659' komutunu çalýþtýrarak refrigerus.com 31659 nolu porta baðlanmayý dener. Cevap olarak 'Seni lamer! Gerçekten bunun bir `backdoor` olduðunumu düþündün?' yazýsý ile karþýlaþýr. Sonra 31659 portunda çalýþan servis bozuk paketler göndererek Abednego`nun bilgisayarýný çökertmeye çalýþýr ve ayný zamanda birisinin bilgisayar suçu iþlemeye kalktýðýný servis saðlayýcýya email ile bildirir. Birkaç dakika içinde Abednego`nun baðlantýsý kopar.

Dahada kararlý bir þekilde, Abednego direk firewall`u geçmeye çalýþacaðýna baþka bir yerden girmeye çalýþmaya karar verir. Pekçok hack edilmiþ kullanýcý hesaplarýndan bir diðeri ile refrigerus.com`a ait bilgisayarlarýn listesini almaya baþlar. Bu bilgiye sahip olmak için, IP adresleri dizinlerini içeren, ana veritabanlarýnda aramalar yapan 'nslookup' programýný kullanýr.

Fakat 'nslookup'tan hiçbir yararlý bilgi alamaz. Dogberry refrigerus.com`u iç IP`lere gelen paketleri önce bir isim-sunucusu programýna gönderilecek ve daha sonra ordan iç IP`lere gidecek þekilde ayarlamýþ olmalýydý. Bu iþlem dýþardaki birisinin firewall arkasýndaki makinalar hakkýna bilgi almasýný engelliyordu.

Abednego`nun bir sonraki denemesi IP adresi taramasý olur. Önce 'nslookup' ile refrigerus.com`u nümerik bir adrese çevirir. O adresin yukarý ve aþaðýsýný taramaya baþlar. 50 internet adresi bulur. Bunlarýn refrigerus.com`a ait olduðu garanti deðildir ama Abednego bunun yüksek ihtimal olduðunu düþünür.

Sonra 'whois' komutunu kullanarak baþka alan adlarýnýn Refrigerators R Us`a kayýtlý olup olmadýðýna bakar. Cevap nümerik adresin refrigerus.com`dan uzakta bir alan adýný ortaya çýkarýr: refrigeratorz.com. Ve IP adres tarayýcý refrigeratorz.com etrafýnda 5 adres daha bulur.

Güvenlik önlemi olarak, Abednego o anki kullanýcý hesabýndan baþka bir hesaba telnet çeker. Ve ordanda FIN port taramalarý yapmak için baþka bir hack edilmiþ hesaba telnet çeker. Bu ekstra adýmlar kanun güçlerinden birisinin 3 þirket için arama emri çýkartmasýný gerektiriyor ve böylece iþlemi zorlaþtýrýyordu.


Ayrýca 3. hack edilmiþ bilgisayar hesabýnda, zararsýz gibi görünen, anormal aktivitelerin bulunmasýnda gerekli olan loglarýn tamamýný temizleyen, bir truva atý programý olan 'rootkit' korumasý altýnda saklanmaya karar verir. Bu program ayrýca sistem dosyalarýnda yapýlan deðiþiklikleri bulmaya çalýþan programlarýda alt eder. Bu güvenli noktadan, Abednego birbiri ardýna refrigerus.com ve refrigeratorz.com daki makinalarý taramaya baþlar. FIN tarayýcý her bir makina için firewall`u geçer. Fakat bu aktivite Dogberry`nin pager`ýna alarm gönderen Etherpeek programý tarafýndan yakalanýr. Dogberry iþyerine acele ile varýr ve FIN taramasýnýn kaynaðýný hemen bulur. Abednego`nun 3. hack edilmiþ hesabýnýn sahibi servis saðlayýcýdaki sistem yöneticisine haber verir. Fakat rootkit iþini iyi yapmýþtýr. Abednego`yu meraklý sistem yöneticisinden gizler. Abednego cesurca devam eder. Firewall`un korumadýðý bir IP adresi bulabilme umuduyla FIN tarayýcýdan strobe`a geçer.

Refrigerus.com firewall`undan gelen anlamsýz bilgi seli haricinde hiçbir bilgi edinememiþtir. Ani yük artýþý sonunda Abednego`nun hack edilmiþ hesabýnýn bulunduðu servis saðlayýcýnýn sistem yöneticisi sistemde bir hacker olduðuna inanmýþtýr. En etkili yöntem olarak sistemin Internet baðlantýsýný tamamen kapatýr. Baðlantýsý koptuðunda Abednego firewall`u geçmenin düzgün bir yolu olmadýðýný farkeder.


Çalýþkanlýk


Abednego Refrigerators R US da daha pek çok çalýþanýn makinasýnýn kabinlerinde yada ofislerinde sessizce oturuyor olduklarýný düþünür. Bu çalýþanlardan bazýlarýnýn (firewall’u devre dýþý býrakacak olan) evden bir modem kullanýp iþyerine baðlanarak gece geç saatlere kadar çalýþmayý seven birileri olmasý da mümkündü. Aslýnda bir çalýþanýn modem satýn alýp iþyerinde telefon hattýna baðlayýp akþam iþten çýkmasý çok kolay.

Abednego, her büyük firmanýn aðýnda yetkisiz bir modem bulunduðu düþüncesiyle ShokDial isimli bir war-dialer programý kurar. Bu program Refrigerators R US’ýn telefon numarasýndaki tüm dahili numaralarý tarayacaktýr. Þirketin ana merkezindeki gece bekçisi telefonlarýn birbiri ardýna çaldýðýný duyar fakat bu konuda hiçbirþey düþünmez.

Ve 2:57 de, war-dialer bir modem yakalar. Abednego bir Silicon Graphics bilgisayarýn logon ekraný ile karþýlaþýr: “Refrigerators R Us Pazarlama Departmaný. Irix 6.3”. Abednego “Harika” diye düþünür çünkü Irix bir Unix çeþididir ve Dogberry’nin dünyasýna açýlan bir kapý olabilir.

Abednego’nun bir sonraki stratejisi, o makinada tüm komutlarý çalýþtýrabilecek ve tüm bilgilere eriþebilecek olan root kullanýcý hesabýnýn þifresini brute-force (Irix makineyi devamlý olarak arayarak þifrelerini denemek) yöntemi ile bulacak bir program kullanmaktýr. Irix makinenin sahibinin uzaktan bir root hesabýna eriþime izin býraktýðýný umar.

Þifre bulucu program öncelikle genel kullanýlan kelimeleri dener. Bu iþlem aylar hatta yýllar sürebilir çünkü þifre bulucu program bir sözlükteki, bir ansiklopedideki yada telefon rehberindeki tüm isimleri deneyebilir. Fakat Abednego þanslýdýr. Sabah 5 e doðru þifrenin “nancy” olduðunu bulur.

“Evet” diye baðýrýr Abednego sisteme login olduðunda. Hemen izlerini gizleyebilmek için FTP ile kurban makineye bir rootkit ve sniffer programý yerleþtirir. Keystroke loggin adý verilen, kullanýcýnýn sistemde bastýðý tüm tuþlarý ve að üzerinden login’leri kayýt edecek sniffer programlarýný çalýþtýrýr. Sniffer bu bilgiyi, dikkat çekmeyecek isimde bir dosyada saklayacaktýr. Birkaç dakika içinde Abednego’nun rootkit’i logon olmak için ek bir yol daha hazýrlamýþtýr: Kullanýcý ismi: “revenge” (intikam) Þifre: “DiEdOgB”.

Abednego’nun sabah son olarak basit bir iþlem daha yapar. Ele geçirdiði makinanýn internet adresini bulmak için “who” komutunu kullanýr ve “revenge” kullanýcýsýnýn picasso.refrigeratorz.com adresine logon olduðunu görür. Ve sabah daha geç saatlerde picasso’nun gerçek kullanýcýsý sistemin baþýna geçtiðinde bilgisayarýnýn bir baþkasý tarafýndan kullanýldýðýný farkedemez. Abednego’nun rootkit’i iþini iyi yapmaktadýr.

Dogberry, loglarý incelediðinde sabah erken saatte refrigeratorz.com’a internetten girme denemesi dýþýnda olaðan dýþý birþey görmez. Son günlerdeki FIN taramalarýný hatýrlayýp bu deneme karþýsýnda endiþelenir fakar elinde çok az bilgi vardýr.

Ýki gece sonra Abednego picasso’ya loglarýný incelemek için modem ile baðlanýr. Ýç aðdaki trafiðin þifrelenmiþ olduðunu görür. Fakat sniffer’ýnýn basýlan tuþlarý loglamasý iþe yaramýþtýr ve picasso’nun kullanýcýsýnýn fantasia isimli baþka bir makineye login olduðunu görür. Artýk fantasia için de bir kullanýcý ismi ve þifresi vardýr. Açýl Susam Açýl!

Abednego makinenin televizyon reklamlarý için olabilecek animasyonlarýn render edildiði bir SPARC workstation olduðunu öðrenir. Makina diðer makinalar tarafýndan da kullanýlan bir sunucu olabilieceðinden, Abednego bir þifre dosyasý aramaya baþlar. Bulabildiði þifrelerin firmadaki diðer makinalarda da çalýþabileceðini ummaktadýr.

Dosyayý bulur fakat þifrenin olmasý gereken yerde “x” karakterleri bulunmaktadýr. Göründüðü üzere aradýðý bilgi baþka bir (shadowed) dosyada gizlenmektedir. Abednego ftp programýný çalýþtýrýr ve çökmesini saðlar. Bingo! Core dump!

Fantasia, RAM (random-access memory) deki bilgilerin bir kýsmýný ortaya çýkarmak zorunda býrakýlmýþtý. Abednego’nun þansýna bu bilgi (RAM de o anda tutulan bilginin kaydý) kullanýcý dizinindeydi artýk.

Core dump’larýn asýl amacý programcýlarýn dijital kalýntýlarda programýn niye baþarýsýzlýðý uðradýðý hakkýnda fikir/bilgi sahibi olmasýdýr. Fakat, Abednego’nun iyi bildiði gibi, core dump baþka amaçlar içinde kullanýlabilir. Bir “shadowed” þifre sistemi bazen kriptolanmýþ þifreleri RAM’de tutarlar. Bir kullanýcý logon olduðunda bilgisayar kullanýcýnýn girdiði þifreyi tek yönlü olarak kriptolar ve shadow’lanmýþ dosyadaki kriptolanmýþ þifre ile karþýlaþtýrýr. Eðer ikisi birbirini tutuyorsa kullanýcý sisteme girer.

Abednego’nun fantasia’daki core dump’tan elde ettigi þifreler kriptolanmýþ haldedir, O yüzden þifre kýrýcý programýný çalýþtýrýr. Program þifreyi kýrmak için birkaç gün belkide haftalarca uðraþacaktýr.

Bekleyemiyecek kadar sabýrsýz olan Abednego bir sonraki iþlemine baþlamýþtýr bile. Unix sisteminin bir açýðýndan faydalanmak. Bir sistemde çalýþan bir program tampon hafýzaya (buffer - hafýzada geçici depolama alaný) aþýrý miktarda bilgi dökerse bu bilgiler bilgisayarýn hafýzasýnýn diðer alanlara taþar.

Abednego kendi kodunu SPARC makinede çalýþtýrabilmek için hafýza taþmasýndan yararlanýr. Bu sayede bir root shell’ine sahip olur. Son çabalarý Abednego’yu fazlasýyla memnun etmiþtir. Birde sniffer ve rootkit kurur sisteme. Rootkit aktif olduðu zamandan sonraki izleri gizleyeceðinden, Abednego gece boyunca önceden yaptýðý iþlerin izlerini siler.

Son bir iþ kalmýþtýr. Fantasia’ya internet’ten girilmesine izin verilen baþkalarý varmý? Abednego sisteme baðlantý yapan kiþilerin listesini görmek için “last” komutunu kullanýr. Refrigerators R Us güvenlik duvarý dýþarýsýnda bulunan “adagency.com” alanýndan internet yoluyla fantasia’ya logon olan iki kullanýcý ismi görür: “vangogh” ve “nancy”.

Abednego o sabah zorla uyur. Yakýnda Refrigerators R Us’a sahip olacaðý (own) düþüncesi onu heyecanlandýrmaktadýr.


Son Darbe


Sonraki akþam, Abednego adagency.com’a girmek için kýsa bir çalýþma yapar. Ýlk olarak IP spoofing kullanarak karþý makinenin kendisi için farklý bir IP algýlamasýný saðlar. SYN/Ack cevaplarýndaki sýra numaralarýný izlemek için adagency.com’a SYN paketleri göndermeye baþlar. Program kýsa sürede, sonraki sýra numaralarýný tahmin edebilmesine yarayacak bir patern çýkartýr. Abendego, adagency.com a hemen bir sniffer yerleþtirir ve fantasia’ya logon olmada baðlantýyý þifreleyecek olan bir secure-shell programý kullanýr.

O makinede, aða yapýlmýþ baðlantýlarý görmek için ‘netstat’ komutunu çalýþtýrýr. Önceki aramalarýnda gözünden kaçan bir makina bulur. 'admin.refrigerus.com'. Acaba bu makine Dogberry’nin sistemi izlediði makine olabilirmi?

Bu sýrada Abednego’nun PC’si kullanýcý þifrelerini kýrdýkça onlarý refrigerus.com’daki diðer makinalarda denemektedir. Fakat hiçbiri zaten sahip olduðu fantasia dýþýnda baþka bir makinede çalýþmamaktadýr.

Fantasia’da firmanýn web sitesini güncelleyen vangogh tarafýndan basýlan tuþlarý yakalar. Ve artýk refirgerus.com’un web sitesini hacklemek için elinde gerekli þifre vardýr. Ayrýca picasso’daki sniffer’ý Nancy isimli birisinin makineye dialup baðlandýðýný ve root kullanýcý hesabý için bir backdoor kullanarak admin.refrigerus.com a girdiðini ortaya çýkarýr.

Nancy nin peþinden admin.refrigerus.com’a login olur. Root hesabýný kullanarak diðer makinelere login olmaya çalýþýr fakat Dogberry aþýrý derecede dikkatli davranmýþtýr. Refrigerators R US aðýnda root haklarýna sahip birisi bile diðer makinelere yeni bir þifre girisi yapmadan girememektedir.

Tekrar web sunucusuna döner ve yeni hesabýyla login olur. Evdeki PC sinden refrigerus.com için bugünü düþünerek hazýrladýðý yeni bir web sayfasýný upload eder.

Refrigerators R US da, Dogberry geç saatte çalýþmaktadýr. Loglarýný dikkatlice incelemektedir. Görünüþe göre pazarlama çalýþanlarý adagency.com dan alýþýlmýþýn üstünde bir baðlantý gerçekleþtirmektedir. Yarýn ordakilere neler olduðunu soracaktýr. Ayrýca bir zamanlar yeni bir sistem yazýlýmýný kurmasýna yardým ettiði sistem yöneticisine de soracaktýr.

Dogberry tam eve gitmek için çýkacakken ofis telefonu çalar. Öfkeli bir müþteri Refrigerators R US web sitesinde pornografi içerik olduðundan bahsetmektedir. Dogberry deðiþtirilmiþ web sitesini görür görmez web sunucusunun ethernet kablosunu çekmeye koþar.

Abednego sanat eseri çok kýsa sürede kapatýldýðý için sinirlenir. Fakat arkada çok delil býraktýðýndan endiþelenerek hala dogberry’nin bilmediði, picasso’daki dialup hatta yönelir. Yönetim makinesinin harddiskini formatlayarak zaman kazanýr. Böylece Dogberry’nin saldýrý hakkýndaki detaylarý araþtýrmasýný geçici olarak engeller.

Dogberry yönetim bilgisayarýna konsoldan boot etmek için koþar fakat artýk çok geçtir. Artýk dogberry o makineyi sýfýrdan kurmak zorundadýr (yedeklerden). Abednego’nun bilmediði birþey ise, yandaki macintosh makinede EtherPeek çalýþmaya ve loglamaya devam etmektedir.

Abednego hala öfkelidir ve o geceki son hareketini yapar: refrigerus.com a trafiðin çoðunluðunu harcayacak þekilde bir saldýrý yapar. Kýsa sürede dogberry firma satýþ elemanalrýnýn birinden telefon alýr. Kullanýcý önemli email’lerini alamamaktadýr.

Ertesi sabah, Dogberry yorgun bir sekilde teknik bölüm üst yönetiminden aðdaki tüm makinalarýn temizlenmesi ve baþtan kurulmasý için izin ister fakat bu iþlem uzun süreceðinden isteði reddedilir.

Bu noktada, Abednego’nun kötü amaçlý ve yokedici saldýrýlarý kanun sýnýrlarýný aþmýþtý. Fakat FBI o sýralar çeþitli ordu bilgisayar sistemlerine yapýlan saldýrýlarý araþtýrmaktaydý ve Dogberry kendi baþýna daha çok delil toplamalýydý.

Saldýrgan, að internet’ten fiziksel olarak koparýldýktan sonra bile sistemde kaldýðýna göre Dogberry binada bir yerlerde haberi olmadýðý bir modem olduðundan þüphelenir. Kendi war-dialer’ýný çalýþtýrýr ve modemi tespit eder. Þimdi pazarlama departmanýna söyleyecek bir çift sözü vardýr.

Dogberry kendisinin ana yönetim bilgisayarýný tekrar hazýrlar ve saldýrgan admin.refrigerus.com a login olmak istediðinde kendisini üzerinde sahte muhasebe bilgiler vs olan bir NT sunucuya yönlendirecek þekilde port-mapping yapar.

2 gece sonra Dogberry nöbette iken saat 8:17 P.M. de birisinin admin.refrigerus.com a girmeye çalýþtýðýný farkeder. Bu Abednego’dur. Abednego pornografigrafik web sitesinin underground kesimde konuþulduðunu duymuþ ve heyecanlanmýþtýr. Bazý yerlerde de haber olmasý onun kendisini yenilmez hissetmesini saðlamýþtýr.

Ve bu gece her zamanki dikkatini vermeden Refrigerators R US a girer. Bir servis saðlayýcýdaki misafir hesabýna baðlandýktan sonra fantasia’daki backdoor a hýzlý eriþim için adagency.com a telnet çeker.

Abednego admin.refrigerus.com dan otomatik oalrak tuzak NT sunucuya yönlendirilir. Abednego önemli finans bilgileri olduðuna inandýðý bilgileri incelemek için heyecanlanmaktadýr.

Dogberry ise sniffer ile edindiði bilgileri analiz etmekle meþguldur. Abednego’nun fantasia’daki root þifresini bulmuþtur bile. DiEd0gB. Ve saldýrganý dagency.com a kadar izleyebilmiþtir. Dogberry oranýn sistem adminin çaðrý cihazýna mesaj gönderir. Admin iþten çoktan ayrýlmýþtýr fakat yardým edeceðini Dogberry yi arayarak telefonda bildirir.

Böylece, Abednego uydurma kredi kartlarý bulunan büyük bir dosyayý çekerken Dogberry adagency.com a bir sniffer yerleþtirir. Abednego tembelce tüm makinalarda ayný þifreyi kullandýðý için dogberry farkettirmeden adagency.com a died0gb þifresini kullanarak girer. Ve Abednego büyük dosyayý çekmesini bitirip logoff olmadan Dogberry saldýrganýn izini servis saðlayýcýya kadar takip etmiþtir bile.
Dogberry’nin elde ettiði bilgi FBI’ý getirmek için yeterlidir. FBI sonraki gün Servis saðlayýcýyý arayarak Abednego’nun kimliðini telefon loglarýndan bulur. Eldeki delillerle ve macintosh’un etherpeek loglarýyla arama emri çýkartýlýr.


Kýsa zamanda FBI ajanlarý Abednego’nun apartmanýna baskýn yapar ve PC’sine el koyar. Bilgisayarýn harddiski herþeyi ortaya çýkartacaktýr. Abednego her gece eylemlerinden sonra çektiði dosyalarý sisteminden silme önlemini almýþtýr fakat FBI’ýn bu silinmiþ dosyalarý ortaya çýkaracaðýný öðrenecektir.

Bir süre sonra bir bankaya yaptýðý saldýrýlarda dahil olmak üzere yaptýklarý ortaya çýkar. Suçlarý kanýtlayan megabyte’larca bilgi Abendego’nun bilgisayar yolsuzluðu yüzünden ceza yemesi için fazlasýyla yeterlidir. Þansýna, dava hakimi sibersuç davalarýna karþý sert tutumu ile tanýnmýþtýr. Abednego çizmeyi aþan pek çok hacker gibi (binlerce dolar zarar yaratan) iþlemlerinin sadece eðlenceli bir oyun olduðu konusunda ýsrar eder. Abednego bu yazý yazýldýðý sýrada federal hapishanede 2 yýllýk hapis cezasý ile yatmaktaydý.
 
Saygýlar.




-------------
WHÝTE HAT
BEYAZ ÞAPKA (BÝLGÝ NEFERÝ)



Sayfayı Yazdır | Pencereyi Kapat