DoS/ DDoS Nedir? OSI Katmanlarına Göre DoS/DDoS Saldırıları

DoS ve DDoS Nedir?

Kübra Eskalan, Sızma Testi Uzmanı

Denial of Service yani DoS atağı kötü niyetli kişiler tarafından yapılarak sistemin normal işleyişini kesintiye uğratarak kullanılamaz hale getirmesini amaçlamaktadır. DoS atağını başlatmak için tek bir cihaz yeterlidir. Bu atak türünde hedef bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek gönderilir. Sistemlerin ağ trafiğinin bir kapasitesi vardır. Sistemin sahip olduğu bu kaynaklara saldırganlar tarafından aşırı yüklenildiğinde dolan kapasitenin karşısında, firewall gelen paketlerin hangisinin gerçek veya saldırı olduğunu anlamakta yetersiz kalmaktadır. Bu yüzden sistem hizmetleri yavaşlamakta hatta verilen hizmetler bu saldırılar sonrasında tamamen çökebilmektedir. Fark edilmesi ve engellenmesi DDoS ataklara göre kolaydır. Nedeni ise tek sunucu üzerinden yapıldığı için bu sunucu adresinden gelen paketleri engelleyerek atağın önlenmesi mümkündür. DoS atakları genel olarak önemli bilgi yahut varlıkların ele geçirilmesi ile sonuçlanmasa bile mağdur için büyük miktarlarda para ve zamana mal olabilmektedir.

Distributed Denial of Service yani DDoS atakları, en etkin saldırı yöntemleri arasında bulunmaktadır. Bu saldırı bir saldırı kaynağından değil de birçok farklı kaynaktan gelen bir DoS saldırısı türüdür. Yani birden fazla sistem senkronize edilerek bir DoS saldırısını tek bir hedefe düzenlediğinde gerçekleşmektedir.  Temel fark bir yerden saldırıya uğranması yerine aynı anda birçok yerden saldırıya uğranmasıdır. DDoS saldırıları, Ping, HTTP, Slowloris, SYN vb. saldırı türleriyle yapılabilir üstelik çok uzun süreler devam edebilir. Sunucuların açık bulunun portları sebebiyle kötücül kişiler, hassas verilere erişebilir, bu verileri kullanabilir ya da satabilir. Başarılı bir DDoS saldırısı, tüm çevrimiçi kullanıcı tabanını etkileyen oldukça dikkat çekici bir olaydır.

DoS ve DDoS saldırılarıyla hedeflenen sisteme sızmaktan çok sistemin verdiği hizmetleri aksatmaktır. Saldırı hedefi olan taraf hizmet veremediği süre boyunca maddi ve itibar olarak zarara uğramaktadır. Durum böyle olunca bu saldırılar bazı ülkelerin de kullanmaktan kaçınmadığı bir silah haline gelmiştir. Çünkü ülkelerin elindeki bu silah çok daha maliyetsiz ve çok daha etkili olabilecek seviyede olduğu görülmüştür. Günümüzde çok rahat bir şekilde yapılabilir hale gelmesi ile basit vasıtalarla bu saldırılar gerçekleştirilmektedir. Bu saldırıların kurbanları genel olarak ticaret şirketleri, devlet kuruluşları ve bankacılık gibi yüksel profilli kuruluşların sunucularıdır. Toparlayacak olursak saldırganlar saldırıyı tek bir ana bilgisayardan yaparsa buna bir DoS saldırısı denir. Lakin saldırgan çoklu makineler ile kurbana DoS saldırısı düzenlerse bu saldırılar DDoS saldırısı olarak sınıflandırılır.

DoS ve DDoS saldırılarının çok yaygın olmasından dolayı birçok insan bu saldırılara dair birtakım fikirlere sahiptir. Bu fikir çokluğundan dolayı oluşan yanlış bilgiler ise azımsanamayacak kadar fazladır. Linux sistemlerinin bu saldırılara karşı çok daha dayanıklı olduğu bilgisi kesinlikle gerçeği yansıtmamaktadır. Kısaca hiçbir Firewall ve IPS’in tek başına DDoS’u engelleyemeyeceğini belirtmekte fayda vardır.

Son olarak belirtmek isterim ki, kanuni açıdan bu saldırılar her ne kadar sayıca fazla olsa da firmaların hizmetlerini engellemeye neden olduğu için suç sayılmıştır.

Peki Bu Saldırıları Engellemek Mümkün Mü?

DoS/DDoS saldırılarının yüzde yüz engellenmesi gibi bir durum söz konusu olmasa bile bu saldırıları hafifletmek adına kurumlar bir dizi önlem alabilirler.  Olası bir duruma karşı hazırlıklı olmak için aşağıdaki önlemleri sayabiliriz;

•  Düzenli olarak sızma testi yaptırılarak, sistemlerin hangi noktada durduğu tespit edilmeli buna göre gerekli önlemler alınmalıdır.
•   Bütün sistemler vaktinde güncellenmelidir.
•   Güvenilirliği yüksek anti virüs yazılımları ve donanımı kullanılmalıdır.
• Gelebilecek saldırılar önceden düşünülüp bant genişliği kurumun ihtiyacından fazlası olmalıdır.
•   Verilerin birden çok sunucuda saklanılması ve kullanılması.
•  Olağan dışı durumlar için ağ cihazları yapılandırılmalı ve ağ trafiği izlenmelidir.

OSI Nedir? Katmanlarına Göre DoS/DDoS Saldırıları

OSI (Open System Interconnect) nedir sorusuna basitçe farklı kişilerin geliştirdiği network bileşenlerinin uyumlu olarak çalışmasını sağlayan kurallar bütünüdür diyebiliriz. Yani OSI, ağ sistemleri için bir kılavuz niteliği taşır. Network ürünleri geliştirmekte olan bütün firmalar OSI kurallarına uygun bir şekilde cihaz geliştirmek zorundadır. OSI kurallarına uygun geliştirilmemiş cihazlar, farklı cihazlarla oluşturulmuş networkler ile konuşamazlar.

OSI bilindiği üzere yedi katmana ayrılmıştır ve iletişim sırasında kullanılan protokoller ve donanımlar bu katmanlarda bulunur. OSI modelinde katmanlar birbirlerinden bağımsız değildir ve her katman kendinden önce olan katmana hizmet eder. İki cihaz arasında veri iletimi gerçekleştirileceğinde, veriyi gönderen için iletim uygulama katmanından başlayarak fiziksel katmana doğru devam eder. Bu işleme encapsulation denir. Veri alan cihaz için durum tam tersidir. Yani verinin iletimi fiziksel katmandan başlayarak uygulama katmanına doğru olur.

Her katman için farklı DoS saldırı çeşitleri vardır.

7. Katman için DoS ve DDoS

Misal verecek olursak, herhangi bir web sitesine girebilmek için tarayıcıyı açan son kullanıcı bu işlemi http protokolünden dolayı 7. katmanda gerçekleştirir. Son kullanıcı tarafından çalıştırılabilecek tüm uygulamalar bu seviyede yer almaktadır. Bu katmanda Telnet, FTP, DHCP, DNS, HTTP, SMTP, POP protokolleri kullanılır. Elektronik posta, veri tabanı yönetimleri, dosya paylaşımları gibi işlemler gerçekleştirilir. Olabilecek sonuçları arasında kaynakların kullanım sınırlarına erişmesinden dolayı sistemi çalışması için gerekli kaynaklarda kıtlığın yaşanması gösterilebilir.

6. Katman için DoS DDoS

Bu katmanda sıkıştırma ve şifreleme protokolleri kullanılır. Veri sıkıştırma, şifreleme ve çözme işlemleri, veri formatının değiştirilmesi gibi işlemler bu katmanda gerçekleştirilmektedir. Bu katmanda yapılacak saldırılara örnek olarak, kötü niyetle biçimlendirilmiş SSL istekleri gösterilebilir. Bu saldırıda kötü niyetli saldırgan sunucuyu hedef almak için http ataklarını SSL ile tüneller.

5. Katman için DoS ve DDoS

Session katmanında oturum açma ve kapatma protokolleri kullanılır. Ağdaki işletim sistemleri içerisinde oturumun kurulması, sonlandırılması ve senkronizasyonunun sağlanması bu katmanda gerçekleşir. Bir saldırı örneği olarak Telnet servisinin durdurulması gösterilebilir.

4. Katman için DoS ve DDoS

Transport katmanı, üstündeki ve altındaki katmanları arasındaki bağlantıyı sağlar. SPX, SCTP, TCP, DCCP gibi verinin iletimi üzerinde rol alan protokolleri kullanır. Verinin alıcısına ulaşıp ulaşmadığını kontrol eder. Bu katmanda gerçekleştirilen saldırılar için SYN Flood ve Smurf saldırısı örnek gösterilebilir.

3. Katman için DoS ve DDoS

Transport katmanından gelen istekleri cevaplandırarak bunları data link katmanına iletir. IPX, ARP, IP, ICMP gibi protokoller kullanılır.  Network katmanında ağdaki cihazların adresleme işlemleri gerçekleştirilir ayrıca gelen veri paketlerinin ağ adresleri kullanılarak uygun ağlara yönlendirilmesi sağlanır. Router bu katmanda yer alır. ICMP Flood saldırısı bu katmanda yapılan saldırılara örnek gösterilebilir.

2. Katman için DoS ve DDoS

Data Link katmanında 802.3 & 802.5 protokolleri kullanılır. Bu katmanda fiziksel katmana erişim ile ilgili kurallar düzenlenir. Bunlar fiziksel katman üzerinden transferin kurulması, sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi gibi kurallardır. Ayrıca bu katmanda gerçekleştirilen işlemlerin büyük kısmı ağ arayüz kartı içerisinde gerçekleştirilir. Bu katmanda gerçekleştirilebilecek saldırılara MAC Flood saldırısı örnek gösterilebilir. Bu saldırılar sonucunda ise kullanıcı kaynağından hedefine giden veri akışının bozulması ihtimali vardır.

1. Katman için DoS ve DDoS

Bu katmanda verilerin fiziksel cihazlar üzerinden sinyal olarak gönderilmesi ve alınması sağlanır. 100Base – T & 1000Base – X gibi protokoller kullanılır. Bu katmanda direkt olarak fiziksel saldırılar yapılır. Bu saldırılar sonucunda fiziksel varlıklar yeniden ayarlanamaz yahut kullanılamaz hale gelebilir. Bu saldırılara, ağ kablolarına ve donanımlara zarar vermek, frekans bozumu (jamming) saldırısı örnek gösterilebilir.

DOS ve DDOS hizmetini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

KAYNAK

https://www.cloudflare.com/learning/ddos/layer-3-ddos-attacks/

https://tr.wikipedia.org/wiki/Denial-of-service_attack

https://hostnoc.com/ddos-vulnerabilities-on-separate-layers-of-the-osi-model-how-to-mitigate-them/

SMB Anonim Oturumla Nasıl Sömürülür?

                                                             Tuğcan Özel, Sızma Testi Uzmanı

SMB Nedir?

Server Message Block (Sunucu İleti Bloğu), sunucu istemci (server-client) arasındaki iletişimi sağlayan bir ağ protokolüdür. SMB protokolü, Windows sistemlerinin 139 ve 445 portlarını kullanarak, paylaşılan dosyalara erişimi, ağlar, yazıcılar ve çeşitli bağlantıları sağlar. Bu bağlantıların yanında oplock, dosya ve kayıt kitleme, dosya ve dizin değişikliği gibi işlemler de SMB üzerinden gerçekleşmektedir.

Kullanılan Araçlar

Nmblookup – TCP/IP üzerinden NetBIOS isimleri hakkında bilgi toplamaktadır.
Smbclient – FTP protokolü gibi SMB paylaşımlarına erişmeye yaramaktadır.
Smbmap – Host üzerindeki paylaşıma açık dosyaları ve izinlerini göstermektedir.
Nmap – Scriptleri ile genel bir tarayıcıdır.
Rpcclient – Kullanıcı tarafındaki MS-RPC fonksiyonlarını çalıştırmaya yaramaktadır.
Enum4Linux – Çeşitli SMB fonksiyonlar

Host İsimleri Hakkında Bilgi Toplama

Nmblookup – A [IP]
- A parametresi, IP adresine göre bilgi toplamamıza izin vermektedir.

Dizin Listeleme

Smbmap –H [ip/hostname]
-H parametre host ismi veya ip adresimi belirtmemizi istemektedir.

Eğer kimlik bilgileri ele geçirilirse, erişim sağlanması için aracımız şu şekilde kullanılabilmektedir.

Smbmap –H [ip] –d [domain] –u [user] –p [password]

Smbclient –L \\[ip]
             -L parametresi ilgili hosttaki dizinleri getirmektedir.

Nmap  --script –smb-enum-shares –p 139,445 [ip]
-script smb-enum-shares -> smb hakkında bilgi toplamak için çalıştırılan bir scripttir.

            -p 139,445 ilgili portları belirtmektedir.

Smbmap –H [ip/hostname] belirli kimlik bilgileri ile veya null oturum ile dizinlerde neler gerçekleştirilebileceği hakkında bilgi vermektedir.
Rpcclient –U “” –N [ip]

-U “” null oturumlar anlamına gelmektedir.

-N parola yok anlamına gelmektedir.(No password)

Bu noktadan itibaren rpc komutları çalıştırılabilmektedir.

NULL Oturum Kontrolü

Smbclient //[ip]/[dizin_adı] şeklinde host üzerindeki dizine kimlik bilgileri yollanmadan erişilmeye çalışılmaktadır. Erişim sağlanırsa NULL session meydana gelmektedir.

Zafiyet Kontrolü

Nmap –script smb-vuln* -p 139,445 [ip]

--script smb-vuln* smb zafiyetleri ile ilgili bünyesinde barındırdığı tüm scriptleri çalıştıracaktır.

-p 139,445 smb portları

GENEL TARAMA

Enum4Linux –a [ip]

-a host hakkındaki bütün(all) bilgileri toplamamıza yaramaktadır.

Çıktı çok uzun olmakta, özet olarak ifade edilirse:

Nmblookup’a benzer host çıktıları

Otomatik Null oturum kontrolü

Dizinleri listeleme

Domain bilgileri

Password politikaları gibi bilgiler elde edinmektedir.

ÖZET

Hostname bilgi toplama

 nmblookup –A [ip]

Dizin Listeleme

Smbmap –H [ip/hostname]

Smbclient –L \\[ip]

Nmap –script smb-enum-shares –p 139,445 [ip]

Null Oturum Kontrolü

Smbmap –H [ip/hostname]

Rpcclient –U “” –n [ip]

Smbclient //ip/dizin_adı

Zafiyet kontrolü

 nmap –script smb-vuln* -p 139,445 [ip]

Genel Tarama

 enum4Linux –a [ip]

Sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kr00k Nedir, Tehlikeleri Nelerdir?

Kr00k Nedir, Tehlikeleri Nelerdir?

Kübra Eskalan, Sızma Testi Uzmanı

Kr00k-CVE-2019-15126, ESET güvenlik şirketi tarafından 17 Ağustos 2019’da keşfedilmiştir. 24-28 Şubat 2020 tarihide gerçekleşen RSA 2020 etkinliğinde güvenlik ürünleri geliştiricisi olan ESET firmasın araştırmacıların yaptığı sunum ile detayları açıklanmıştır. Bu açıklık şifreli Wi-Fi trafiğinin şifresinin çözülmesine izin veren bir güvenlik açığıdır. Aslında herkesin kullandığı yazılımlarda her gün keşfedilen birçok hata gibi bir hatadır. Aradaki fark ise, Kr00k'un bir Wi-Fi bağlantısı üzerinden gönderilen veri paketlerini korumak için kullanılan şifrelemeyi etkilemesidir. Çoğunluk ile bu paketler kullanıcının Wi-Fi şifresine bağlı benzersiz bir anahtarla şifrelenir. Çok sayıda iOS ve Android cihaz da bu donanımla kullanıcılarla buluştuğu için tehlike içinde olduğu belirlenmiştir. Üstelik sadece akıllı telefonlar değil, ASUS ve Huawei tarafından üretilen Wi-Fi cihazlarının da bu anteni kullandığı bilinmektedir.

Broadcom üretimi Wi-Fi antenlerinde bu güvenlik açığı keşfedilip, istismar edilerek kullanıcıların şifrelenmiş verilerinin kolayca okunabildiği fark edilmiştir. En yaygın kullanılan protokoller arasında yer alan WPA2-Personal ve WPA2-Enterprise zafiyetten etkilenmektedir.

Bu konuyu daha teknik ifade edecek olursak, kablosuz haberleşmenin doğasında  bulunan  “Bağlantıyı kesmek” veya ” Deauthentication” durumu bir Wi-Fi bağlantısında doğal olarak gerçekleşen olaydır. Bu durum genellikle düşük Wi-Fi sinyali alındığında otomatik olarak gerçekleşerek bağlantı kesme durumu meydana gelir. Wi-Fi cihazlarının gün boyunca birkaç kez bağlantısı kesilir ve bu durum yaşandığında, istemciler geçmişte kullanılan ağa yeniden bağlanmak için otomatik olarak talep iletir.

ESET araştırmacıları, saldırganların; aygıtları uzun bir bağlantı kesme durumuna sokabileceklerini ve bu sayede aygıta gelmesi beklenen Wi-Fi paketlerini dinleyebileceklerini ve daha sonra gerçekleşen trafiği deşifre etmek için Kr00k açıklığını kullanabileceklerini belirtmişlerdir. Bu işlemlerin gerçekleşmesiyle normalde güvenli olduğu düşünülen trafik, saldırganlar tarafından okunabilir hale gelmektedir.

Bu açıklıkta dikkat edilmesi gereken en önemli nokta ise kr00k açıklığının sadece AES-CCMP şifrelemeli WPA2-Personal veya WPA2-Enterprise güvenlik protokollerini kullanan WiFi bağlantılarını etkilemesidir.

Kimler Etkilendi, Ne Yapılmalı?

ESET araştırmacıları tarafından, birçok popüler cihazın savunmasız olduğu doğrulanmıştır. Araştırma sonuçlarına göre kr00k, henüz yamalanmamış olan Broadcom ve Cypress Wi-Fi çiplerini kullanan tüm cihazlar bu açıklıktan etkilenmektedir. Bu cihazlara akıllı telefonlar, tabletler, dizüstü bilgisayarlar örnek gösterilebilir. Ayrıca bu güvenlik açığından yalnızca istemci aygıtları değil, Wi-Fi erişim noktaları ve yönlendiricileri de etkilenmiştir.

Bilinen savunmasız cihazlardan bazıları şunlardır:

·         Amazon Echo 2. nesil

·         Amazon Kindle 8. nesil

·         Apple iPad mini 2

·         Apple iPhone 6 , 6S , 8 , XR

·         Apple MacBook Air Retina 13 inç 2018

·         Google Nexus 5

·         Google Nexus 6

·         Google Nexus 6S

·         Samsung Galaxy S4 GT-I9505

·         Samsung Galaxy S8

·         Xiaomi Redmi 3S

Firmalar ise bu güvenlik açığını kapatmak için yamalar yayınlamaktadırlar. ESET’in yayınladığı raporda diğer markalar tarafından üretilen Wi-Fi donanımlarında da zafiyet araması yapıldığı ve Qualcomm, Realtek, Ralink, Mediatek donanımlarında herhangi bir zafiyet bulunmadığı belirtilmiştir.

Bu güvenlik açığından korunabilmek adına telefonlar, tabletler, dizüstü bilgisayarlar, Wi-Fi erişim noktaları ve yönlendiriciler dahil olmak üzere tüm Wi-Fi özellikli cihazların en son işletim sistemi, yazılım ve / veya ürün yazılımı sürümlerine güncellendiğinden emin olunması önerilmektedir

Wifi kablosuz ağ  güvenlik testini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kaynaklar

https://en.wikipedia.org/wiki/Kr00k

https://www.eset.com/tr/kr00k/

SIZMA TESTLERİNDE EN ÇOK KARŞILAŞTIĞIMIZ AÇIKLIKLAR «2018» 

Kemal AYDIN, Kıdemli Sızma Testi Uzmanı [TSE]

Teknolojinin gelişmesi ile beraber hayatımızı teknoloji ile beraber şekillendirmekteyiz. Teknolojide ortaya çıkan değişiklikler insanların yaşam ve iş rutinlerini değiştirmek için motivasyon sağlamaktadır. Örneğin internet üzerinden alışveriş yapmak, yemek siparişi vermek, ofise gitmeden uzaktan çalışmak gibi durumlar hayatı kolaylaştırmakta ve benzer durumlar hayatın her alanında karşımıza çıkmaktadır.  Hayatımıza “akıllı” kavramının girmesiyle beraber hayat kalitemizin arttığı yadsınamaz bir gerçektir.  Ancak bu akıllı cihazlar herkes tarafından kolay kullanılabilir olması ve kolay kurulum yapılabilmesi adına en düşük güvenlik önlemleri ile karşımıza gelmektedir. Son kullanıcı bu noktada birçok şeyden habersiz bu ürünleri kullanmaya devam etmektedir. Bu durum kişilerin ve kurumların mahremiyetini ve güvenliğini tehlikeye atmaktadır.

Kısaca, bir şey insanların hayatını ne kadar kolaylaştırıyor ise o ölçüde güvenliğini tehdit etmektedir. Aynı durum kurumlar için de fazlasıyla geçerlidir. Örneğin kurumlar çalışanlarına esnek çalışma ortamı sağlayabilmek adına VPN teknolojisi ile çalışanlarını kendi kurum ağına dahil edebilmektedir. Ancak burada gerekli güvenlik tedbirleri alınmaz ise kurumlar için büyük risk oluşturacaktır. Bunun gibi örnekler çoğaltılabilir. 

Sızma testleri bir kurumun, bilgi teknoloji sistemlerine bir saldırgan bakış açısıyla sızma girişimleri için yapılan testlerdir. Sızma testinde belli senaryolar dahilinde testler gerçekleştirilir. Saldırganın kurum çalışanı olması (içeriden yapılan saldırı) veya saldırganın kurum ağına gerçekleştirmiş olduğu fiziksel erişim gibi senaryolar bunlara örnek olarak verilebilir. Dışarıdan içeriye sızmalarda ise sosyal mühendislik testleri büyük önem taşımaktadır. Oltalama testleri bu yapıda önemli bir paydaya sahiptir. Bu vektörler dışında web ve mobil uygulamalar üzerinden de hem sistem hem de sistemde kayıtlı kişilere ait bilgiler ele geçirebilmektedir. Güvenliğiniz en zayıf halkanız ile doğru orantılı olacağı için tüm erişim noktalarından uygun testlerin yapılması, kurumların siber uzayda güvenlik seviyesinin farkında olması adına çok önemlidir.  

Biz de BTYÖN olarak 2018 yılında yaptığımız testlerde en çok karşılaştığımız bulguları derleyip paylaşmak istedik. Bu sayede kurumların kendi sistemlerinde bu zafiyetlerin bulunup bulunmadığını test edebileceğine inanmaktayız. Böylelikle kurumlar sistemlerini daha güvenliği hale getirip saldırı tehditlerini azaltabileceklerdir.

Yaptığımız analizi paylaşmadan önce yapılan testlerin içerikleri hakkında bilgi vermek faydalı olacaktır. 

1.  AĞ VE SİSTEM ALTYAPILARI TESTLERİ

1.1.  DIŞ AĞ & DMZ TESTLERİ

İnternet üzerinden gerçekleştirilen güvenlik denetimlerde kuruma ait ve dış dünyaya açık olan sistemlerin güvenlik denetimleri gerçekleştirilmektedir. Gerçekleştirilen denetimlerin bir kısmı aşağıda verilmiştir.

•  Müşteri sistemlerine ait pasif bilgi toplama yöntemleri ile kurum hakkında bilgi toplanır.
•  Hedef sistemler üzerinde çalışan servisler, sürümleri ve bu sürümlere ait zafiyetler tespit edilir.
•  Hedef sistemler üzerinde bulunan servislerin hatalı yapılandırılmalarına bağlı zafiyetler tespit edilir.
• Tespit edilen bütün zafiyetler istismar edilerek kanıtlar toplanır, hedef sistemlerde erişim elde edilmeye çalışılır ve elde edilen erişimlerin yetkileri yükseltilmeye çalışılır.

1.2.  İÇ AĞ TESTLERİ

Sunucu ve İstemci Testleri

Yerel ağ üzerinde, kapsam dâhilinde tutulan istemci ve sunuculara yönelik gerçekleştirilen testlerdir. Bu kategoride hedef sistemler tespit edilir. Hedef sistemler üzerinde açık olan portlar ve bu portlar üzerinde çalışan servisler tespit edilir. Bu servislerin sürümleri ve mevcut sürümleri için zafiyetleri tespit edilir. Hatalı yapılandırma ve sürüm bazlı zafiyetler istismar edilerek saldırganların sistemlere verebileceği zararlar analiz edilir. Ele geçirilen sistemler aracılığı ile diğer sistemlere ve ağlara yönelik zafiyetler tespit edilir.

Kurum ağında bulunan farklı sunuculara yönelik farklı testler gerçekleştirilmektedir. Kapsam dâhilinde bulunan sunuculara yönelik ticari ve açık kaynak otomatize araçlar ile zafiyet analizinin yanında güvenlik ekibimizce geliştirilen araçlar ile de manuel testler gerçekleştirilmektedir.

DNS Sunucu Testleri

Bir kurumun ağ yapısında, DNS sunucuları son derece önem taşımaktadır. IP adreslerinin kullanım zorluğunu ortadan kaldıran DNS sunucularında da çeşitli zafiyetler bulunabilmektedir.

Hatalı yapılandırılmış DNS sunucuları aracılığı ile kurum ağ yapısı hakkında bilgi toplamak mümkün olabilmektedir.

Bu test kategorisinde kullanıcıların farklı sistemlere istekleri dışında yönlendirilebilmelerine olanak verebilen zafiyetler gibi saldırganlara yetkisiz erişim izni oluşturabilecek zafiyetler test edilmektedir.

E-mail Sunucu Testleri

Bu kategoride kapsam dâhilinde bulunan mail sunuculara yönelik testler gerçekleştirilmektedir. Son yıllarda kurumlara yönelik saldırıların önemli bir oranı mail sistemleri üzerinden son kullanıcıyı hedef alacak şekilde gerçekleştirilmektedir.

Hatalı veya eksik yapılandırılmış mail sunucu, saldırganların zararlı içerik gönderimine, yetkisiz mail gönderimine, güvenilir olmayan sistemlerden zararlı mail gönderimine vs. olanak sağlamaktadır.

Bu test kategorisinde mail sistemleri ticari araçlarla ve manuel yöntemlerle test edilmektedir. Mail sunucularının ve mail güvenlik sistemlerinin son kullanıcıları saldırılara karşı koruma yetenekleri test edilmektedir.

Veri Tabanı Güvenlik Testleri

Veri tabanı sistemleri bir kurumun en hassas sistemleridir. Veri tabanı sistemlerinde de yapılandırmaya, kullanılan sürümlere ve istemci olarak bağlanıp verileri yöneten sistemlere bağlı olarak zafiyetler bulunabilmektedir. Bu zafiyetler, saldırganların veri tabanına yetkisiz bir şekilde erişebilmesine, istemci ile sunucu arasındaki veri iletişimini değiştirebilmesine, veri tabanı sunucusunu ele geçirmesine sebep olabilmektedir.

Bu kategoride gerçekleştirilen testlerde veri tabanı sunucuları detaylı testlere tabi tutulmaktadır.

Ağ Cihazı Testleri

Bu kategoride kapsam dâhilinde tutulan ağ cihazlarına (switch, router vs.) yönelik zafiyet analizleri ve sızma testleri gerçekleştirilmektedir. Hatalı veya eksik yapılandırılmış ağ cihazlarında bulunan zafiyetlerin istismarı ile kullanıcılar gitmek istemedikleri sitelere yönlendirilebilir, şifreli trafikleri araya girilerek elde edilebilir.

VoIP Teknolojisi Ürünleri Testleri

Kurum bünyesinde kullanılan VOIP sistemlerinde zafiyetler bulunabilmektedir. Hatalı veya eksik yapılandırılmış veya güncelleme eksiklikleri bulunan sistemlerin kullanılması ile saldırganlar kullanıcıların konuşmalarını kaydedip ortam dinlemesi gerçekleştirebilir, kullanıcılar adına sahte kimliklerle arama gerçekleştirebilir ve aradaki şifreli trafiği çözerek konuşma kayıtlarını elde edebilirler.

Buna benzer saldırılara karşı zafiyet analizleri için ticari ve açık kaynak yazılımlar ile otomatize ve manuel testler gerçekleştirilir.

1.3.  KABLOSUZ AĞ TESTLERİ

Kablosuz ağlara yönelik saldırılar ile kablosuz ağ parolasını elde etmek, kullanıcılara yönelik saldırılar gerçekleştirebilmek mümkündür. Hatalı veya eksik yapılandırılmış kablosuz ağlar üzerinden kuruma ait diğer ağlara da saldırılar gerçekleştirmek mümkün olabilmektedir. 

Bu kategoride gerçekleştirilen güvenlik denetimlerde kurum tarafından kapsam dâhilinde tutulan kablosuz ağ sistemlerine yönelik sızma testleri gerçekleştirilmektedir.

2.  WEB UYGULAMA TESTLERİ

Kurum tarafından belirli işlevleri yerine getirmek üzere yapılandırılmış web uygulamaları, dış ağ üzerinden herkes tarafından erişilebilir olduğu için güvenliğinin sağlanması son derece önemlidir. Bir web uygulaması üzerinde çalıştığı sunucunun ele geçirilmesine, bir sunucunun ele geçirilmesi tüm kurum sistemlerinin ele geçirilmesine olanak sağlayabilir.

Kurum Web uygulamalarına yönelik gerçekleştirilen testler OWASP yönergelerine uygun olarak gerçekleştirilmektedir. Web uygulamalarına farklı kullanıcı profilleri ile erişim sağlanabildiği için farklı profillerde güvenlik denetimleri gerçekleştirilmektedir.

Testlerin gerçekleştirildiği profiller aşağıda verilmiştir.

• Anonim kullanıcı: Bu kullanıcı profilinde kullanıcının hedef sistem üzerinde herhangi bir yetkisi bulunmamaktadır.
• Yetkisiz kullanıcı: Bu kullanıcı profili uygulama üzerinde sadece yetkisiz bazı işlemleri gerçekleştirebilen fakat uygulama üzerinde değişiklik gerçekleştiremeyen kullanıcı profilidir.
• Yetkili kullanıcı: Bu kullanıcı profili uygulama üzerinde bazı yetkili işlemleri gerçekleştirebilmektedir. Uygulamanın mimarisine göre birden fazla yetkili kullanıcı profilleri olabilmektedir. 

Uygulama güvenliği testlerinde yetkisiz kimselerin yetkili işlemleri gerçekleştirebilme girişimleri de canlandırılmaktadır. Yetkili bir kullanıcının gerçekleştirdiği tüm işlemler yetkisiz bir kullanıcı ile de gerçekleştirilmeye çalışılmaktadır. Bu tür yetki aşımı girişimlerine dikey yetki yükseltme girişimleri denilmektedir. Aynı şekilde yetkisiz bir kullanıcının başka bir kullanıcıya ait alanlara erişememesi gerekmektedir. Bu tür yetki aşımı girişimlerine ise yatay yetki aşımı girişimleri denilmektedir.

3.  MOBİL UYGULAMA TESTLERİ

Kurumun mobil kullanıcılarına yönelik hazırladığı mobil uygulamalarda da çeşitli zafiyetler bulunabilmektedir. Mobil cihazlar için hazırlanan uygulamalar ve sunucu tarafında mobil uygulamalar için hazırlanan servislere yönelik gerçekleştirilen sızma testleri gerçekleştirilmektedir. OWASP yönergelerinin ve sızma testi ekibi tarafından hazırlanan kontrol listelerinin uygulandığı bu test kategorisinde tüm saldırı senaryoları test edilmektedir.

4.  SOSYAL MÜHENDİSLİK TESTLERİ

Bu güvenlik denetimleri kategorisinde testler direk olarak kurum çalışanlarına yönelik gerçekleştirilmektedir. Bir kurumun güvenlik zincirinin en hassas ve kırılgan noktasını çalışanlar oluşturmaktadır. Bu yüzden kurum çalışanların da güvenlik farkındalığının yüksek olması gerekmektedir. Çalışanların farkındalığını test etmek için kullanılan yöntemler, oltalama saldırıları ile çalışanlardan hassas bilgi elde etme yöntemleridir.

Oltalama yöntemleri olarak telefon yoluyla ya da mail yoluyla testler gerçekleştirilmektedir. Kurum tarafından gerçekleştirilen isteğe bağlı olarak testler mail yoluyla, telefon yoluyla veya her ikisiyle gerçekleştirilmektedir.

Testler personellerden, hassas bilgileri elde etmek için hazırlanmış sahte senaryolarla gerçekleştirilmektedir. Senaryolar personellerin sık kullandığı sistemlere benzetilerek ve çalışanları endişeye sevk edecek şekilde hazırlanmaktadır.

5.  DoS & DDoS SERVİS SONLANDIRMA TESTLERİ

Kurum sistemlerinin dışarıdan erişilebilmesi için yapılandırılan servisler, sunucuların ve ağ yapısının sınırlarından ve hatalı yapılandırılmalarından dolayı hizmet veremez hale getirilebilmektedir. Bu test kategorisinden kurum dış ağı üzerinden çok yoğun oranlarda isteklerde bulunarak sistemlerin hizmet veremez hale geldiği eşik değerleri tespit edilmektedir.

• TCP SYN FLOOD: Hedef sistemlere TCP -SYN bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerinin kaynağını tüketip masum isteklere cevap veremez hale getirilmesidir.
• TCP ACK FLOOD: Hedef sistemlere TCP-ACK bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerin masum isteklere cevap veremez hale getirilmesidir.
• MIXED FLAG FLOOD: Hedef sistemlere birden fazla TCP bayrağının seçilmiş paketlerin gönderildiği saldırı çeşididir. Bu saldırılarda uygulamalar önünde konumlandırılan sistemlerin kaynaklarının tüketilmesi hedeflenmektedir.
• ICMP FLOOD: Hedef sistemlere ICMP paketlerinin gönderilerek hedef sistemlerin diğer masum isteklere cevap veremez hale getirilmesidir.
• UDP FLOOD: Hedef DNS sunucu sistemlerine yapısı değiştirilmiş paketlerinin gönderilerek, hedef sistemlerin DNS isteklerine cevap veremez hale getirilmesidir.
• DNS FLOOD: Hedef DNS sunucu sistemlerine yönelik aşırı miktarda DNS isteklerinin gerçekleştirilerek, sistemlerin diğer masum DNS isteklerine cevap verilemez hale getirilmesidir.
• HTTP GET FLOOD: Hedef web uygulamalarına yönelik HTTP-GET istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.
• HTTP POST FLOOD: Hedef web uygulamalarına yönelik HTTP-POST istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.

6.  En Çok Karşılaşılan Açıklıklar

Yapılan testlerde elde ettiğimiz verilere göre Ağ ve Sistem Altyapılarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.

Grafik 1 Ağ ve Sistem Altyapıları

• MS17-010 güvenlik bülteni ile yayınlanan SMBv1 üzerine gönderilen bazı isteklerin yanlış değerlendirilmesi sonucu özel paketler ile yetkisiz bir biçimde uzaktan kod çalıştırılması durumu ortaya çıkmaktadır.  Saldırganlar ağda bulunan SMBv1 koşturan Windows işletim sistemlerini hedef alarak özel hazırlanmış paketleri ilettiğinde uzak sunuculara ve istemcilere erişim sağlayabilirler. Bu durumda uzaktan komut çalıştırılabilir ve akabinde bilgi ifşası yaşanabilmektedir.
• SNMP (Simple Network Management Protocol) servisi, önceden belirlenmiş sistem bilgilerine uzaktan erişebilmeyi sağlayan bir yönetim servisidir. SNMP servisi versiyon 3 öncesi kullanımlarda, sistem bilgilerine erişimde sadece bir topluluk ismi kullanmaktadır. SNMP servisi topluluk isminin kuruma özel kullanmak yerine ön tanımlı olarak (public, private, cisco) kullanılması yetkisiz kimselerin sistem hakkında bilgi toplamasına imkan sağlamaktadır.
• Telnet, cihazların uzaktan yönetimi için kullanılan bir protokoldür. Telnet protokolü ile gerçekleştirilen bağlantılar ağ üzerinden şifrelenmeden gerçekleştirilmektedir. Aynı ağda bulunan saldırganlar tarafından oturum bilgilerinin dahil tüm trafiğin elde edilmesi mümkündür.
• Anonim kullanıcı için tanımlanan FTP hizmetinde kullanıcılar sadece “anonymous” kullanıcı adı ile parola kullanmaksızın dosya transferi gerçekleştirebilmektedirler. Bu zafiyetin saldırganlar tarafından istismarı ile dosya sunucu üzerinde bulunan verilerin ifşası ve sunucuya zararlı yazılım yüklenmesi gerçekleşebilir.
• Dropbear çoklu güvenlik zafiyetleri sömürülerek; kullanıcı adı ve parola tanımlamasında kaynaklanan bir metin formatı zafiyeti sebebiyle, giriş yapmamış bir kullanıcı sistem üzerinde root hakları ile komut çalıştırabilir. Ek olarak OpenSSH anahtar dosyalarının yönetiminden kaynaklanan bir zafiyet sebebiyle, sistemde giriş yapmamış bir saldırgan uzak komut çalıştırabilir. 

Yapılan testlerde elde ettiğimiz verilere göre Web Uygulamalarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.

Grafik 2 Web Uygulamaları

• Web uygulamalar geliştiriliyorken güvenliğin sağlanması adına bazı önlemlerin alınmış olması önemlidir. Örneğin HTTPOnly bayrağı işaretlenmemiş çerezlerin kullanımı sonucu, son kullanıcılara yönelik gerçekleştirilebilecek XSS saldırıları ile geçerli oturum bilgiler elde edilebilmektedir. Çerezlere güvenli bayrağı (Secure) atandığında, tüm çerez bilgileri SSL protokolü ile gönderilmeye zorlanır. Güvenli bayrağı atanmamış çerezler, araya girme saldırıları (man in the middle attack-MITM) sonrasında önemli bilgilerin ifşası söz konusu olabilmektedir.
• Web uygulamalar geliştiriliyorken kullanılan JavaScript veya jQuery kütüphanelerinin güncel olması web uygulamanın güvenliği için yüksek önem taşımaktadır. Güncel olmayan sürümlerde uzaktan komut çalıştırmaya varan ciddi zafiyetler oluşabilmektedir. 
• Web uygulamaların CAPTCHA kullanılmayan kimlik doğrulama panelleri, kaba kuvvet (brute force) saldırılarına karşı savunmasızdırlar. Saldırganlar bu zafiyeti istismar ederek geçerli hesap bilgilerine erişebilmeyi başarabilirler.
• Web uygulamalarda bazı hassas bilgilerin (kullanıcı adı, parola vs.) şifresiz kanallar aracılığı ile iletilmesi sistemi kullanan kişiler için zafiyet arz etmektedir. Saldırganların başarılı bir araya girme saldırısı (man in the middle attack-MITM) ile bu hassas bilgilerin elde edilebileceğine dikkat edilmelidir.
• Web uygulamada bulunan formları otomatik olarak gönderilmesi zafiyet oluşturabilmektedir. Proxy sunucu ile araya giren saldırgan, sistem üzerinde sonsuz kayıt oluşturabilir. Bu da veri tabanının kayıt limitinin aşılarak devre dışı kalmasına sebep olabilir. Sistemin veri bütünlüğünü bozarak işlevsiz hale gelmesine sebep olabilmektedir.

 

Yapılan testlerde elde ettiğimiz verilere göre Mobil Uygulamalarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.

Grafik 3 Mobil Uygulamaları

• Jailbreak/root yapılmış cihazlarda zararlı yazılım olma ihtimali jailbreak/root yapılmamış cihazlara göre çok daha yüksektir. Bu sebepten ötürü uygulamalar Jailbreak/root yapılmış bir cihaz üzerinde çalışıyorsa kullanıcının bu durumunun riski hakkında bilgilendirilmesi önerilmektedir.
• SSL Pinning yapılmadığı durumlarda saldırgan, cihaza kendi oluşturduğu SSL sertifikasını yükleyerek sunucu ile istemci arasındaki trafiği çözebilmektedir. Bu zafiyet yazılımın kendine yapılan isteklerde beklediği geçerli SSL sertifikasını tanımamasından ve saldırgan tarafından oluşturulmuş sertifikayı kabul etmesinden kaynaklanmaktadır.
• Uygulamaların "Log" dosyalarında hassas veri barındırması durumunda zafiyet oluşmaktadır. Cihaza fiziksel veya uzaktan erişen saldırgan log dosyalarını inceleyerek son kullanıcıya ait hassas verilere erişebilecektir. Ele geçirdiği bu hassas veriler ile uygulamaya giriş yapabilecektir.
• Cihaz içerisindeki SQLite dosyalarında uygulamaya ait hassas veriler depolandığı noktalarda zafiyet oluşmaktadır.  Cihaza fiziksel veya uzaktan erişim sağlayabilecek saldırgan bu bilgiler sayesinde hassas ve kişisel bilgilere ulaşabilmektedir. 
• Uygulama kaynak kodu okunabilir şekilde geri dönüştürüldüğünde uygulamanın iç işleyişi ile ilgili bilgiler saldırgan tarafından elde edilebilmekte ve uygulamanın analizi kolaylaşmaktadır.

 

Yapılan testlerde elde ettiğimiz verilere göre Sosyal Mühendislik Testlerinde başarı dağılımı aşağıdaki gibidir. Sonuçlar mail ile oltalama saldırısının benzer senaryolar ile uygulanması ile elde edilmiştir.

Grafik 4 Şüpheli Bağlantıya Tıklama Oranları

Grafikten de anlaşıldığı üzere test yapılan kullanıcıların yarısından fazlası ilgi çekici içeriğe aldanarak açma eğilimindedir. Saldırganlar insani zafiyetlerden faydalanarak sistemler üzerinde erişim sağlayabilirler. Bu da bilgi teknolojileri sistemlerini risk altında bırakmaktadır. 

Grafik 5 Şüpheli Bağlantıdan Açılan Formu Doldurma Oranları

İkinci grafik ise ilk grafikte şüpheli linke tıklayan kullanıcıların önüne gelen formda kişisel bilgileri talep edilmektedir. Burada kullanıcıların %60 gibi ciddi bir çoğunluğu kişisel bilgilerini veri toplayanın kaynağına dikkat etmeden paylaşmışlardır. 

Bu tarz saldırıların önüne geçebilmek adına alınabilecek en iyi önlem kurum çalışanlarını konu hakkında bilinçlendirmek için farkındalık eğitimleri verilmesidir.

7.  Sonuç

Kurumların bilgi teknolojileri sistemlerinin dış dünyaya karşı durumunu öğrenebilmeleri ve açıklıklara karşı önlem alabilmeleri için periyodik olarak sızma testi yaptırmaları önerilmektedir. Ancak bu süreçte sadece sızma testi yeterli olmayabilir. Dış dünyaya karşı hazırlıklı olmak için gelen güncelleme ve düzeltmelerin takibi, sistemlerin bakımı ve kullanılmayan servislerin kapatılması güvenli kalabilmek adına büyük önem taşımaktadır.

Sistemler ne kadar güvenli olsa da bilgi güvenliğinin en zayıf halkası olan insani zafiyetler unutulmamalı, çalışanlara belli periyotlarda farkındalık eğitimi verilmelidir.

Siz de güvenli kalabilmek adına ilk adım olarak paylaştığımız en çok karşılaşılan açıklıkların sistemlerinizde bulunup bulunmadığını kontrol edebilirsiniz.

 Sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.