URL: http://www.olympos.org/article/articleprint/128/-1/10/internet_guvenligi___bolum_2

Internet Güvenliği - Bölüm 2

Ana sayfa

Kütüphane

Dokümanlar

Yazar: Ertan Kurt

Yayınlanma tarihi: 24.02.2002 22:27

Güvenlik Tehditleri
Servis kullanımı engelleme
Bir kullanıcı veya firma internet güvenliğinin aşıldığı bir durumda çeşitli tehditlerle karşılabilir. Bu tehditlerin sonuçları kullanıcının iş alanına bağlıdır. Örneğin bazı kullanıcılar servislerin tutarlılığı ve hızı konusunda endişelenirken diğerleri bilgisyarlarındaki gizli bilgilerin gizliliği konusunda endişe duyabilirler.
Güvenlik problemlerinin iki ana sınıfı rahatsızlık verici saldırılar ve kötü amaçlı saldırılardır. Rahatsızlık verici saldırılar işinizi yapmanızı engelleyen saldırılardır. Bu tip bir saldırı bilgisayarınızın yavaşlamasına veya çökmesine yol açabilir. Genelde rahatsızlık verici saldırılarda kalıcı hasar veya kayıp amaçlanmaz.
Eğer bir saldırgan ağınıza erişim sağlarsa, dosyaları silebilir, kişisel verilerinizi okuyup değişiklik yapabilir veya makinanıza virüs bulaştırabilir.
Kötü amaçlı saldırılar genelde bir firma yada kullanıcıya kayıp yada hasar vermeye yöneliktir. Eğer Internet`e doğru güvenlik önlemlerini almadan bağlanırsanız bilgi sistemlerinizi risk altına aldığınızı bilmelisiniz. Ağınıza bir web sunucusu kurduğunuzda potansiyel olarak tüm Internet`in yerel ağınıza erişebileceği bir pencereye açıyorsunuz. Sitenizin çoğu ziyaretçisi web sunucunuzu amaçlandığı şekilde kullanacaktır. Fakat bazıları ağınızdaki özel bilgilere erişmeye çalışacak hatta dahili ağınıza erişim için sistemde güvenlik açığı arayacaktır. Sistem güvenliğinizi kimlerin aşmaya çalışabileceğinden her zaman haberdar olmalısınız. Hacker`lar üniversite ortamındaki öğrencilerden rakiplere veya profesyonel hacker`lar ve endüstriyel casusluk ajanlarına kadar farklılık gösterebilir.
Kaynaklarınızı korumada bilmeniz gereken belirli tehditleri bulmak için risk değerlendirmesi yapmak iyi bir fikirdir. Risk değerlendirmesi sadece güvenlik sisteminizi kurarken değil düzenli olarak gerçekleştirilmelidir. Bu değerlendirmelerde dahili sisteminizin kullanıcıları da içerilmelidir. Muhtemel bir güvenlik ihlalinde risk altında olacak tüm kaynakları bilmek önemlidir. Örneğin, donanım, yazılım ve veri gibi belirli kaynakları tanımlamanın dışında ağınızı kullananların da korunması gereken kaynaklar olduğundan haberdar olmalısınız.
Firmanın bilgisayar sistemini kullanan personel genelde kişisel bilgilerini bilgisayarlarında depolarlar. Bu kişiler bilgisayarları Internet`e bağlandığında kişisel bilgilerinin ekstra koruma gerektirdiğini bilmeliler.
Ağlar bilgisayarlar ve veritabanları gibi değerli kaynakları birbirine bağlar ve firma için gerekli olan servisleri sağlarlar. Bir sunucunun sağladığı özellikler çoğaldıkça güvenlik açıkları içerme riski de o oranda artar. Bunun sebebi Internet protokol ve standartlarının dizayn edilirken güvenliğin düşünülmemesidir.
Kullanıcıların genelde işlerini yeterlilikle yapabilmeleri ağ servislerine bağlıdır. Eğer kullanıcıların bu servislere erişimi engellenirse daha az üretken olurlar ve bu da firma için mali kayıp demektir.
Servis kullanımı engelleme (DoS) Internet`teki istemci ve sunucular için en ciddi tehditlerden biridir. Aynı zamanda engellenmesi en zor güvenlik tehditidir. Bir servis kullanımı engelleme saldırısı kurbanın normalde erişebildiği bir servise erişebilmesini engelleyen kötü amaçlı bir saldırıdır. Bir saldırganın bunu gerçekleştirebilmesi için pek çok farklı yol vardır.
Bir ağı kullanılmaz hale getirmenin yollarından biri ona bozuk ICMP paketleri göndermektir (bir ICMP pakedi IP paketleri gönderen kişilere ağ problemi olduğunu belirtmekte kullanılır). Örneğin bir ağı işlemez hale devamlı olarak 'Destination Unreachable' (Hedef erişilemez) ICMP mesajları göndererek getirebilirsiniz.
Hackerlar ağ parçalarını birbirine bağlayan router gibi kritik bir bileşeni kullanım dışı bırakabilirler. Veya güvenlik duvarı gibi ağı koruyan cihazları kullanım dışı bırakabilirler.
En kolay servis kullanımı engelleme saldırılarından biri başka bir kullanıcının disk veya hafıza birimini anlamsız mesajlar ile doldurmaktır. Bir saldırgan bunu e-posta ile veya FTP kullanarak bir kaç yüz megabyte işe yaramaz veri göndererek gerçekleştirebilir. Örneğin bir kullanıcının bir dosya için yaptığı isteğe kullanıcının diskinin kapasitesi kadar bir dosya ile cevap verilebilir.
Bir saldırgan web sitesine çok sayıda bağlantı kurarak gerçek kullanıcılarına bu servisin sunulmasını yavaşlatabilir. Gerçekte pek çok sunucu aynı anda yapılabilen bağlantıları sınırlayarak bağlantılar için yeterli kaynak olduğundan emin olurlar. Bu sayede saldırgan mevcut tüm bağlantıları devamlı olarak kullanarak kullanıcıların erişimini tamamen engelleyebilir.
Bir saldırgan ağınızı çok sayıda TCP SYN bağlantı istekleri göndererek yavaşlatabilir (SYN yeni bir bağlantı isteği için gönderilen bir sinyaldir). Sunucu her bağlantı isteğini aldığında karşılık verir ve önceden belirlenmiş bir zaman sürecinde, zaman aşımına uğrayana kadar karşı taraftan bir onay bekler. Fakat saldırgan onay mesajlarını göndermez ve SYN`ler göndermeye devam ederse sunucunun tüm kaynakları kullanılacaktır. Buna SYN seli (flood) saldırısı adı verilir.
Ping programı bağlantının kurulup kurulamayacağını görmek için bir makineden diğerine ICMP paketleri göndermede kullanılır. 'Ping of Death' saldırısı karşı tarafın işleyemeyeceği kadar büyük paketlerle pinglenmesi ile gerçekleştirilir. Bazı durumlarda protokol yazılımındaki bu açık yüzünden makinenin çökmesi mümkündür.
Bir sistemi yavaşlatma yada çökertmenin diğer bir yolu da sistemin kaynaklarını tüketen bir virüs kullanımıdır. Robert Morris tarafından geliştirilen meşhur 'Internet Solucanı' (worm), bırakıldıktan sonra bir kaç saat içinde Internet`te 6000 makineyi etkiledi (Solucanlar bilgisayar ağlarında kendilerini çoğaltarak yayılan virüslerdir). Internet Solucanı 'finger' sunucusuna belirli karakter dizileri göndermede 'finger' kodundaki bir güvenlik açığını kullandı. Bu karakter dizisi programın dahili veri alanlarında süper-kullanıcı statüsündeki bölümlerinin üzerine yazarak solucanın yayılabilmesini sağladı.
Bilgi ve haberleşmelerini güvenli hale getirmede kriptografik işlemler kullanan çalışma istasyonları belirli tipte bir servis kullanımı engelleme saldırısına açıktırlar. Bu saldırı makineye çok sayıda bozuk 'imzalanmış' mesajlar göndererek gerçekleştirilir. Kriptografik imzaları onaylamak zaman alıcı bir işlem olduğundan makine tüm zamanını bu mesajları onaylamada kullandığından kullanılamaz hale gelecektir.
Java ve JavaScript`de de güvenlik problemleri keşfedildi. Java veya JavaScript ile yazılmış programlar çok CPU veya hafıza kaynakları kullanarak makineyi kullanılamaz hale getirebilirler (Java ve JavaScript web sayfalarına etkileşim eklemede kullanılan dillerdir). Örneğin, basit bir Java programı Java run-time sistemlerini dondurabilir. Ve çoğu program çalışırken kesmenize izin vermez. Bu sebeple sistemi reboot (tekrar başlatma) etmeniz gerekir.
JavaScript problemleri iki ana alanda gerçekleşir: Servis kullanımı engelleme saldırıları ve kişisel gizlilik ihlali.
Servis kullanımı engelleme saldırıları kolaylıkla JavaScript`te programlanabilir ve daha sonra web sayfalarına yerleştirilebilir ya da kullanıcılara eposta ile gönderilebilir. JavaScript programları browser içerisinde çalıştığı için potansiyel olarak browser`ın erişebileceği bütün bilgilere erişebilirler. Bu sayede JavaScript ile kullanıcının ziyaret ettiği sayfaların bilgilerine erişilebilir ya da diğer pencerelerde ziyaret edilen URL`ler monitör edilebilir.
Java Applet`ler bilgi sunucularının içeriğinin sunumunu özelleştirmede sunucu-tarafından sağlanan ve browser içerisinde çalıştırılan kodlarda kullanılırlar. Java Applet`lerde de bazı güvenlik açıkları keşfedildi. Bu açıklar dilin dizaynındaki ve bytecode formatındaki bazı zayıflıklar ve implementasyon hataları gibi çeşitli sebeplerden kaynaklanıyor.
Güvenlik açıklarından yararlanan Java Applet`lerine 'kötü amaçlı appletler' adı verilir. Bunlar sisteminizdeki tüm CPU veya hafıza kaynaklarının tüketilmesi için özel olarak yazılmışlardır.
Kötü amaçlı bir applet`in olduğu bir sayfayı ziyaret etme sonucunda tüm mevcut kaynakların kullanımıyla browser`ınız kilitlenebilir. Ya da yanıltıcı yada tehdit edici pencerelerin çalışma istasyonunuzda açılmasını sağlayabilir.
Karşılaşılan kötü amaçlı Java applet`lerinden biri ekranın tamamını siyaha boyayan bir applet idi. Bu siyah pencere ekranın diğer kısımlarına erişmenizi engelliyor ve böylece sisteme erişiminizi engelliyordu. Sonrasında applet sahte bir kullanıcı ismi ve şifre diyalog kutusu görüntüleyerek browser`ı tekrar güvenli olarak başlatmak için bu bilgileri girmenizi söylüyordu. Eğer kullanıcı bilgilerinizi girerseniz bunlar saldırgana daha sonra kullanması için gönderiliyordu.

Her firmayı endişelendiren güvenlik tehditlerinden biri de sistemlere yetkisiz erişimdir (Önceden belirlenmiş bir izin olmadan herhangi bir ağ kaynağının kullanımı yetkisiz erişim olarak adlandırılır). Sisteminize veya ağınıza yetkisiz erişimin ciddiyeti işinizin doğasına bağlıdır. Bazı siteler için en büyük kayıp değerli verilerin yokedilmesi olabilir. Bazıları için anahtar ticari bilgilerin görüntülenmesi önemli olabilir.
Doğru güvenlik önlemleri olmadan Internete bağlanmanın sonucunda oluşacak potansiyel riskler hafife alınmamalıdır. Örneğin, doğru olarak gönderilmeyen şifreler kolayca ele geçirilebilir. Saldırganlar sisteminize erişebildiğinde önemli verileri silebilir yada kopyalayabilirler. Fakat verileri yokedenlerin sahdece harici hacker`lar olmadığı unutulmamalı.
Bazı durumlarda kötü davranıldıklarını düşünen veya hayal kırıklığına uğramış olan çalışanlar işverenlerine bir karşılık olarak verileri yok edebilir veya sistemleri sabote edebilirler.
Bazı durumlarda da sistemlere giren çalışanlar dışardan sisteme girecek saldırganlar için açıklar yaratırlar. İşletim sistemlerindeki açıkların bilgileri ve korunan bilgisayar sistemlerine girme bilgileri yeraltı sitelerinde veya mesajlarında bulunabilir. Hacker`lar genelde işletim sistemlerindeki veya programlarındaki güvenlik açıkları hakkında bilgi edinmek için üretici firma veya güvenlik habergrupları ve mesaj panoları gibi yasal haberdar olma kanallarını kullanırlar. Bu saldırı metodundaki ironi bu haberdar etme mekanizmalarının genelde sistem yöneticilerini sitelerinin hack edilmesini önlemek için açıklardan haberdar etmek için kurulmuş olmasıdır.
UNIX sistemlerindeki genel açıklardan biri sendmail programındadır. UNIX sendmail programının eski sürümlerindeki bir hata hacker`ların telnet istemcisi kullanarak sistem çağrıları çalıştırabilmesine ve dosyaları silip değiştirebilmesine izin vermektedir.
Bir sistemdeki veri kaybının en genel sebeplerinden biri virüs bulaşmasıdır. Bir virüs basitçe, bilgisayar sistemlerine girmek için çeşitli yollar kullanan hasar verici minyatür programdır.
Bilgisayar virüsünün çok farklı çeşitleri vardır. Boot virüsleri sistemin başlatılmasından sorumlu olan diskin dosya sektörünü etkiler. Ve dosyasistemi veya küme (cluster) virüsleri dizin girişlerini değiştirerek yazılımdan önce virüsün yüklenmesine sebep olurlar.
Çok-biçimli/polimorfik (Polymorhpous/Polymorphic) virüsler kendilerini farklı antivirüs yazılımlarına karşı daha dayanıklı kılmak için farklı yollarla kendini çoğaltan virüslerdir. Ve retrovirüsler antivirüs programlarına zarar vermeye hatta tamamen silmeye çalışan virüslerdir.
Truva virüsleri (Trojan) etkiledikleri sistemde çoğalmazlar fakat sistem kullanıcılarından gizlenirler. Bazı tipleri işlerini bitirdikten sonra (ör. önemli verileri silmek) kendilerini silip sistemi orjinal haline getirebiliyorlar.
Solucanlar bilgisayar ağları arasında yayılabilen virüslerdir. Makro virüsleri ise bir uygulamanın içinde hazır bulunan fonksiyonları kullanarak çoğalan ve yayılan virüslerdir. Bir kullanıcı virüs bulaşmış makro içeren bir dosya alıp açtığında makro dokümanın açılmasıyla otomatik olarak çalışabilir veya kullanıcı belirli anahtar kombinasyonlarını gerçekleştirdiğinde çalışabilir. Etkilenen makro daha sonra uygulamada diğer açılan dokümanlarada kendisini kopyalar. Daha sonra kullanıcının açtığı dosyalarda kalarak yayılır veya dokümanları silebilir veya değişiklik yapabilir.
SHAREFUN tanınmış bir makro virüsüdür. Microsoft Word 6.x/7.x sürümleri ile Windows ve Macintosh platformlarında yaratılmış veya kaydedilmiş DOC dosyalarına bulaşarak yayılır.
Önemli bilgilerin görüntülenmesi belirli firmalar için en büyük güvenlik tehditlerinden biridir.
Donanım ve yazılım üreticilerinin dizayn detayları, diyagramları, kaynak kodları ve ürün-bazlı bilgileri bu tip hırsızlık saldırılarının başlıca hedefleridir. Hastaneler, sigorta şirketleri ve finans kuruluşlarında müşterilerin özel bilgileri en çok koruma gerektiren bilgilerdir. Çoğu kişi bilgisayarlarındaki mali bilgilerin, telefon numaralarının, görüşmelerin ve kişisel mektupların gizli olduğunu varsayarlar. Web`i ve Internet`i kullanmanın bu bilgileri dışarıya açabileceği ihtimalinden haberdar değillerdir. Örneğin performansı artırmak için, çoğu browser ziyaret edilen sitelerin yerel sistemde kopyalarını tutarlar ve çoğu kişi bu gezinmelerinin gizli olduğunu düşünür.
Gizlilik saldırıları bir kullanıcının gizli veya özel bilgilerinin yetkisiz bir tarafça görüntülenmesidir.
Hacker`lar işiniz ile ilgili daha fazla bilgiye erişmek için aşağıdaki metodları kullanırlar:

ağı gizlice dinleme
sunucu veya istemcilerinizden bilgiye erişme
ağ, makine ve yönlendirme (routing) bilgilerini bulmak için bilgi servilerini kullanma ve taramalar yapma
normal bir kullanıcının kimliğini kullanarak ağa login olma

Bir sisteme başarılı bir şekilde sızıldığında bilgi tipik olarak Internet`e çok hızlı akar. Saldırganlar bu tip bilgileri haber gruplarında ve muhabbet (IRC - Internet Relay Chat) kanallarında paylaşırlar. Çoğu üretici firmanın Web kullanımı istatistiklerini ölçen programları vardır. Bu sayede firmalar sayfalarına kimlerin girdiğinin kayıtlarını detaylı istatistiklerini tutabilirler. Bu bilgiler IP adresleri ve alan isimleri, browser ve kullanılan makine hakkında bilgiler içerirler. Veri hırsızlığı genelde özel sanal ağlarda (VPN) veya kullandıkça-öde tipi servislerde gerçekleşir. VPN kullanan kişiler Internet üzerinde transfer edilen bilgilerin güvenli olduğunu varsayarlar fakat bu her zaman doğru değildir. Düzgün uygulanmayan bir VPN transfer edilen gizli bilgilerin çalınabilmesine izin verebilir.
Web sunucuları koruma için şifre-tabanlı kimlik tanılama kullanırlar. Eğer mesaj trafiği kriptolanmazsa ağı gizlice dinleyenler kullanıcıların şifrelerini veya kredi kart numaralarını ele geçirebilir ve servisleri para ödemeden kullanabilirler. Sunucularda ücret karşılığı sağlanan bilgilere izinsiz erişilmesi para kaybına yol açar. Şifreler olmadan da gizlice dinleyenler ödeme yapan kullanıcıya dönen bilgiyi görüntüleyip istediklerini alabilirler.
Saldırganlar bilgisayar sistemlerinize erişim kazandığında diğer tip saldırılarıda gerçekleştirebilirler. Eğer bir saldırgan web browser`ınızda ya da çalıştırdığınız diğer bir programda değişiklik yapabilirse bilgisayarınızın tüm kontrolünü ele geçirebilirler. Bu çoğu sistemde saldırgana istediği her dosyayı okuyabilmesini, değiştirebilmesini ve silebilmesini sağlar veya sizin adınıza herhangi bir dosyayı Internet`te herhangi bir yere gönderebilirler. Aslında saldırgan sizin yapabileceğiniz herşeyi yapabilir.
Bir hacker makinenize erişebildiğinde depolanmış ve o an hafızada işlenen verilerde değişiklik yapabilirler. Bütünlüğe yapılan saldırılar genelde saldırganın normal kullanıcıların yerine geçmesi ile ilgilidir. Internet`te çoğu sistemde kimlik tanılama IP adreslerine dayalıdır. Fakat farklı 'spoof edilmiş' IP adresleri içeren doğru IP paketleri yaratmak çok zor değildir. Bu sebeple bir saldırgan kimlik tanılaması için IP adreslerini kullanan herhangi bir sunucuyu kandırabilir. Şifrelerin kullanıldığı yerlerde saldırganlar kriptolanmamış bağlantıları gizlice dinler ve daha sonra kullanıcıların yerine geçerler. Genelde sistem verileri veya hafızada değişiklik sahtekarlık veya kötü amaçlı işlemler için gerçekleştirilir. Bu tip saldırıların sonuçları veri bütünlüğü kaybıdır. Veri sahtekarlıkla değiştirildiğinde kullanıcı artık doğru ve geçerli veriyi kullanmıyordur ve bundan haberdar da olmayabilir. Bundan haberdar olsalarda artık programlarına veya verilerine güvenmezler.
Hacker`ların büyük firmalardaki ve hatta hükümet kuruluşlarındaki bilgilerde değişiklik yapmada güvenlik açıkları bilgilerini nasıl kullandıklarına dair pek çok gerçek-hayat örnekleri vardır.
Aslında hacking olayları 60`lar ve 70`lerde başlamıştır. 1970`te touch-tone telefon erişim sinyallarini taklit için plastik bir düdük kullanarak para ödemeden uzun-mesafe aramalar yapabilen birisi mahkum edilmişti. Kademeli olarak hacking yeraltı-dünyası daha bilgili/karmaşık hale geldi. 1973`te bir New York Times Savings Bank çalışanı işverenini bilgisayar kullanarak 1 milyon dolar dolandırdı. 1988`de 5 kişi Hanover Almanya`daki yargılamaları/hükümleri gizlice izlemek suçuyla tutuklandı. US SDI anti-füze programı ve NASA`nın uzay mekiği için dizayn çizimlerini çalıp KGB`ye satmak için Internet`i kullanmaya çalıştılar. 1994`de kendilerine 'The Posse' adını veren bir grup hacker aralarında Sun Microsystems, Boeing ve Xerox da bulunan çok sayıda Amerikan şirketini başarılı olarak hack ettiler.

Bir bilgisayar sistemine sızmak bazen bir kullanıcının şifresini tahmin etmek kadar basit bir teknikle gerçekleştrilebilir. Fakat çoğu zaman hedef makine veya ağı tanımak ve zayıflıklarını bulmak için biraz araştırma yapması gerekir. Bilgisayar korsanları bu işlemleri gerçekleştirmede gerekli tüm bilgi ve araçlara sahiptirler. Bu tip araçlar sayesinde ağları otomatik olarak tarayabilir, kurbanlarını bulup erişebilirler.

Internet`in düzgün çalışabilmesi için açıklık ve bilgi paylaşımına ihtiyaç vardır, özellikle alan adları ve IP adresleri konusunda. Bu tip bilgiler sıradan kullanıcılar yada hacker`lar tarafından Internet kayıt yetkililerinden kolayca edinilebilir. Ağlar hakkındaki bilgiler ilgili kayıt yetkilisine veya web sitelerine erişerek edinilebilir.
Ayrıca sunucular hakkındaki bilgilere Alan Adı Sistemi (DNS) sunucularından erişilebilir. Bu sunucularda makine isim ve IP adreslerinin listesi bulunur (Düzgün ayarlanmamış bazı DNS sunucuları tüm veritabanlarını istek yapan herhangi birine gönderebilirler). DNS sunucusuna erişebildiğinizde diğer sunucular hakkında bilgiler edinebilirsiniz.

SNMP protokolü kullanan bir router`dan ağ bilgileri edinebilirsiniz. Bunun sebebi genelde bu router`ların isteyen herkese salt-okunur olarak bilgi sağlayacak şekilde ayarlanmış olmalarıdır.

Whois komutunu kullanarak kayıtlı IP adreslerinin, alan adlarının ve bağlantıların listesini görebilirsiniz. Ve traceroute komutuyla bir makineye giden yolda aradaki ağları görebilirsiniz.
Hedef ağı bulduktan sonraki adım içerisindeki makineleri tanımaktır. Bir alt-ağda (subnet) bulunan makineleri bulmak için çeşitli yollarla arama yapabilirsiniz. Bir bilgisayar korsanı için iyi bir başlangıç 'demon dialing' olabilir. 'Demon dialing' bir bilgisayarın modemleri bulmak için verilen listedeki tüm numaraları aramasıdır. Aramaya cevap veren her modemin numarası daha sonra kullanım için kaydedilir. Bir modem bulduğunuzda o sitede çalışan protokolleride belirleyebilirsiniz. Eğer IP protokolü kullanılıyorsa Telnet veya SMTP portlarını kullanabilirsiniz. Bu testler makinenin alan adı, işletim sistemi ve üreticisi gibi yararlı bilgiler sağlayabilir.
Bir ağın haritasını çıkarmak için aday makinelere paketler göndermeniz gerekir. Bir pinglist programı kullanarak bunu gerçekleştirebilirsiniz. Harita çıkarma işlemini otomatikleştiren, ağ yönetimi için ticari ürünler vardır. Örneğin, Fremont herkesin kullanımına açık bir ağ haritası çıkarma sistemidir. Bir makineyi belirlediğiniz zaman onu güvenlik açıkları için taramanız gerekir. Bu işlemi gerçekleştirecek programlar da mevcuttur. Bu programlar sistem/güvenlik yöneticilerinin hacker`lardan önde olmada kullanabilecekleri birer araç olarak geliştirilmişlerdir. Fakat aynı programları hacker`larda ağlardaki güvenlik açıklarını bulmada kullanıyorlar. COPS, SATAN, ISS Internet Scanner, Retina, Nessus, Shadow Security Scanner, CyberCop güvenlik açığı denetleme araçlarına örnek verilebilir.

Uzaktan bazı komutlar kullanarak gerçek isimler, şifreler ve şifre olmadan uzaktan makineye login olabilecek kullanıcıların bilgilerini öğrenebilirsiniz. rpcinfo, rexec ve rlogin programları bilgi toplamada kullanılabilir.
Bu yazılım paketleri tipik olarak aşağıdakileri denetleyecektir:

hangi servisler çalışıyor
uzaktan login olup olamayacağınız
şifre olmadan login olup olamayacağınız

Genelde UNIX makinelerde, hedef makinenin adresini edindikten sonra eposta dağıtımı için kullanılan portuna bağlanarak işletim sistemi, kullanılan mesaj transfer programı ve sürümleri gibi bilgilere edinebilirsiniz. Ve 'home' dizininin yazılabilir olup olmadığını görmek için anonim FTP bağlantısı kurabilirsiniz. 'home' dizininden hangi dosyaların 'export' edilebileceğini görebilirsiniz.

Bir UNIX makinede yüksek haklara sahip olmanın yollarından biri /etc/passwd dosyasındaki şifreleri ele geçirmektir. Ayrıca misafir ve ziyaretçi kullanıcı hesaplarını kontrol edebilir veya sync ve lp gibi genelde korunmayan login veya posta isimlerini kontrol edebilirsiniz.

TFTP dosyaları kopyalamada kullanılan ve kimlik tanılama metodu kullanmayan bir dosya transfer protokolüdür. Fakat kimlik tanılama kullanılmadığından /etc/passwd veya .rhosts gibi dosyaları kopyalamak nispeten daha kolaydır.

FTP protokolü Internet üzerinde en yaygın kullanılan dosya transfer servislerinden biridir. FTP Internet protokolü TCP ile çalışır ve bir dosya transferi için iki portun aktif olmasına ihtiyaç duyar.

Mesajlar SMTP protokolü kullanılarak mesaj transfer 'agent'ları arasında yönlendirilir. Fakat SMTP 7-bit ASCII veya düzyazı olarak transfer yapar ve bu da mesajların izlenmesini kolaylaştırır. 1995 yılının başlarında Florida`lı bir programcı istenilen isimde e-posta mesajları gönderilebilmesini sağlayan bir web sitesi hazırlamıştı. E-posta mesajlarının doğruluğunu ispatlamanın tek yolu elektronik imzalar kullanmaktır.

SMTP`nin en yaygın kullanılan uygulamalarından biri UNIX sendmail programıdır. Sendmail`in eski sürümündeki (5) bir açık hacker`ların makinenin 25 nolu portuna telnet bağlantısı açarak sistem çağrıları çalıştırabilmelerini ve dosyaları değiştirip silebilmelerine izin veriyordu.

Hacker`lar veri paketlerini IP protokolü seviyesinde izleyerek şifre ve kullanıcı ID`lerini bulmaya çalışabilirler. Sniffer adı verilen bazı protokol analiz programları standart bir ağ istasyonunun LAN analiz aracı olarak kullanılabilmesini sağlar. Etherfind (Sun Microsystems) ve tcpdump (linux) gibi bazı sniffer programları işletim sistemi ile birlikte gelir. Ethload, Gobbler, Snoop ve dsniff gibi sniff programları da ücretsiz olarak farklı platformlarda kullanılabilir. Hacker`lar sıkça sniffer`ları hedef sistemlere yerleştirmeye çalışırlar. Sniffer programları ağ arabirim kartlarını 'promiscuous' modunda çalıştırabilirler. Bu modda arabirim kartı sadece kendisine gelen paketleri değil ağdaki tüm paketleri kabul edecektir.

Truva`lar (trojan) genelde orjinal bir programı taklit eden sahte programlardır. Çalıştırıldıklarında istenilmeyen diğer işlemleride gerçekleştirirler. Bİr trojan programına örnek olarak normal login işleminde devreye girip kullanıcıya bir kullanıcı ID`si ve şifre soran bir program verilebilir. Şifre girildiğinde 'Hata: Yanlış Şifre' mesajını görüntüler ve kaydedilen şifre bilgisi anonim bir sunuya eposta ile gönderilir. Program daha sonra uyku moduna geçer ve gerçek login programını çalıştırır.

Hacker`lar paketlerin yönlendirilmesini IP protokol seçeneği 3`ü (loose source routing) kullanarak etkileyebilirler. Bu seçenek IP paketini gönderen kişinin ağa olan yolu belirleyebilmesini sağlar.
'Loose source routing' hedefe giden yolda iki belirlenen IP adresi arasında zıplamalara izin verir ve bu sebeple bir hacker için ideal bir firsattır. Hedefe akan veriler kolaylıkla hacker`ın sistemine yönlendirilebilir. Sonrasında hacker`ın dahili ağa erişimi olur ve dahili bir istasyonun yapabileceği herşeyi yapabilir.
Internet adresi spoof etme güvenlik duvarı sistemlerini altetmede ve diğer bazı saldırı metodlarında sıkça kullanılan bir metoddur. IP spoof ile hacker paketleri dahili bir makinadan geliyor gibi görünecek şekilde gönderebilir. Sistem adresin kendi menzilinde olduğunu gördüğünde paketin dahili haberleşme ile ilgili olduğunu düşünür ve buna göre işleme tabi tutar.

IP spoof kimlik tanılaması olmadan güvenilen hostların haberleşmesine izin verilen ağlar için çok tehlikeli bir güvenlik tehditidir.

TCP sıra numarası saldırısı paket filtreleme metodlarına dayalı güvenlik duvarlarını geçmede en etkili saldırılardan biridir.

IP protokolündeki bir zayıflığı kullanarak erişim yönetimini IP`nin gönderen adres kısmına göre yapan güvenlik sistemlerini aşmak mümkündür. TCP sıra numarası saldırısı TCP bağlantısındaki 3-aşamalı el-sıkışma (handshake) sırasına dayalıdır. Bu saldırıda saldırgan TCP paket sırası numaralarını tahmin edebilir. Bu sayede sunucu geçerli bir istemci ile bağlantı kurulduğunu sanar.

Hacker`ların kendi avantajlarına kullanabilecekleri pek çok güvenlik açığı vardır.
NIS merkezi sunucudan UNIX istemcilere önemli dosyaların dağıtımında kullanılır. Bu dosyalara şifre dosyaları, makine adres tabloları ve güvenli RPC için anahtar kodlar dahildir. Hacker`lar sniffer programları kullanarak NIS ile gönderilen sistem dosyalarını ele geçirebilirler.
Varsayılan olarak NFS her UNIX makineye en azından okuma izni verir. Bir hacker`ın tek yapması gereken dahili bir NFS istemcisinin Internet adresini spoof etmek ve o dosya sistemine girmektir.
X-tabanlı bir uygulama herhangi bir sunucuda veya iş istasyonunda çalıştırılabilir ve çıktısı herhangi bir X-uyumlu iş istasyonuna veya ağdaki mevcut bir X terminaline yönlendirilebilir. Hackerler ağa girdiklerinde 'açık' X sunucuları ararlar. Hacker`lar ağdaki 'açık' X sunucularına erişebilir ve

ekranda yeni pencereler açabilirler
ekranı temizleyip istediklerini görüntüleyebilirler
girilen bilgiler dahil ekranda neler olduğunu izleyebilirler

Şu an nerdeyse hiç kullanılmayan Gopher sunucularınında güvenlik açıkları vardı. Örneğin eski gopher sürümlerinde şifre dosyasına '../../../../etc/passwd' ile erişilebiliyordu.
Ayrıca Kerberos kimlik tanılama sistemi, POP3 mesaj protokolü ve NNTP haber transfer protokollerininde de pek çok açıkları bulunmuştur.

| Normal sayfa görünümüne dönüş | Bu makaleyi arkadaşına gönder |