Hacking dilimize bilgisayar korsanlığı olarak çevrilir. Bir elektronik sisteme izinsiz erişim elde etmek manasına gelir. Bu noktada herkesin aklına kötü / olumsuz sonuçlar gelmektedir. Ancak hacking kötü bir manaya gelmez, hacklemek aslında sistemlerin zafiyetlerini tespit ederek, yetkili erişim elde etme eylemidir. Sistemlerin zaaflarını veya hatalarını bulabilen, bu hataları veyahut zafiyetleri kullanarak sistemlere sağlayan kişilere ise “hacker” denilmektedir. Hacker bilgisayar korsanı olarak ifade edilirken, hacking işlemi ise bilgisayar korsanlığı olarak tanımlanmıştır.
Aslında hacking (hackleme) işlemi elektronik sistemlerin açıklarını veya hatalarını tespit ederek sistemlerin iyileştirilmesi ve üreticilere (yazılım veya donanım fark etmeksizin) raporlar sunmak için ortaya çıkmıştır. Bu kavramı daha net anlayabilmek için araç üreticilerini örnek olarak gösterebiliriz. Araç üreticileri yıllardır daha güvenli araçlar üretebilmek için Euro NCAP testlerine katılırlar.
Euro NCAP testleri, üretilen araçların farklı hızlarda ve farklı çevresel şartlarda geçekleşen çarpışmalar sonucunda aracın aldığı hasarı ölçtüğü gibi araç içerisindeki insanların veya araç dışındaki insanların olası bir kaza durumundan nasıl etkileneceklerini ortaya çıkartır. Bu sayede Audi, Volvo, Mercedes, BMW gibi üreticiler bu test sonuçlarına göre geri bildirim alarak, daha güvenli araçlar üretmeye başlamışlardır. Günümüz teknoloji dünyasında Euro NCAP testleri sayesinde üst düzey güvenlik sağlayarak büyük kazalarda insanların daha az hasar alması veyahut hiç hasar almaması sağlanmaktadır.
Hackelemek kelimesi de bu manaya gelir. Arabalarda olduğu gibi elektronik sistemler de kazalara maruz kalabilir. Yüksek voltaj, su teması gibi çevresel faktörlerin yanı sıra, kötü niyetli kişilerin siber saldırıları da büyük zararlar verebilmektedir. Bu noktada hackerlar yazılım veya donanım üreticilerine geri bildirim sağlayarak güvenliğin sağlanmasında büyük rol almaktadırlar.
Hacker diye tabir ettiğimiz iyi niyetli siber güvenlik uzmanları bir korsandan çok, maaşlı / freelance veyahut danışmanlık gibi görevlerde bulunarak firmalar için legal çalışan kişilerdir. Bu kişiler firmalar ile NDA (gizlilik) sözleşmeleri imzalayarak maaşlı çalışabildikleri gibi danışmanlık hizmeti sunan Privia Security gibi siber güvenlik firmalarında da görev alabilmektedirler. Bu sayede sistemlerde zafiyetler ve hatalar bulunarak kapatılması / düzeltilmesi sağlanır. Olası bir saldırıya karşı tedbir alınmasını amaçlar.
Elbette ki her sektörde olabileceği gibi siber güvenlik sektöründe de kötü niyetli kişiler vardır. Bu kişilere de genel olarak hacker denilmektedir. Ancak amaçları saldırı yaparak sistemleri bozmak, şantaj ile para koparmak, sistemleri kullanılmaz hale getirmek veya benzeri motivasyonlarda suç işleme üzerine kurulmuştur.
Yetenekli bilgisayar korsanları yani usta hackerlar bir sistemi ele geçirme saldırılarından öcne hedef hakkında bilgi toplamayı amaçlarlar. Bu sayede becerikli bir banka soyguncusu veyahut kötü niyetli kişiliere benzer hareketlerde bulunurlar. Ele geçirmek istenilen sistem hakkında ne kadar çok bilgi toplanırsa o kadar başarılı saldırılar düzenlenebilir. Yetenekli bir hacker, hedef organizasyon ve sistemi hakkında elinden gelen her şeyi anlamak ister. Bu hazırlık aşaması önemlidir. Güvenlik bilincine sahip bir kuruluşun kamuoyunda hangi bilgilere izin verildiği konusunda çok dikkatli olmasının bir nedeni de budur.
Hacking ve Pasif Bilgi Toplama
Herhangi bir bilgisayar saldırısındaki ilk adım pasif bir arama yapmaktır. Bu duruma hedef sisteme bağlanmayı içermeyen bilgileri toplama girişimi adı verilir. Hedef sistemde güvenlik duvarı günlükleri, saldırı tespit sistemi (IDS) veya benzeri özellikler varsa, etkin bir tarama tespit edilerek şirketin güvenlik uzmanlarını uyarabilir.
Hedeflenen kurumun yeni bir yönlendirici modeline geçişi bildiren bir duyurusu olduğunu veya web sunucusu için IIS 7.0 kullandığını düşünelim. Hedef sistemle ilgili herhangi bir bilgi, saldırganın güvenlik açıklarını arama hacmini daraltmasını sağlar. Yeni bir yönlendirici duyurusu geniş kapsamlıdır. Ancak IIS geçişinin duyurulduğunu düşündüğümüzde saldırgan IIS versiyonunu da keşfederek yalnızca “IIS 7.0’daki güvenlik kusurlarını” veya benzer bir aramalar gerçekleştirir.
Saldırganın bilgi toplama aşamasındaki en önemli adımlarından biri de kuruluştaki çalışanlar hakkında bilgi edinmektir. Gerçek isimleri, telefon numaralarını, ofis konumlarını gibi birçok bilgiye sahip olması, sosyal mühendislik saldırısına yardımcı olacak ve başarılı senaryolar uygulanmasını sağlayacaktır. Hedef bir kuruluş hakkında ne kadar çok bilgi olursa, saldırı o kadar kolay ve başarılı olacaktır.
Bu konuda bilgi toplama aşaması için yardımcı olan bazı kaynaklara gözatabilirsiniz.
- Netcraft
- Shodan
- Censys
- ViewDNS
- Fofa
Hacking ve Aktif Tarama
Pasif tarama çok sayıda faydalı bilgi verebilse de, bir noktadan sonra saldırganın hedef sisteme bir miktar gerçek bağlantı içeren aktif bir tarama yapması gerekir. Tespit edilmesi en muhtemel olan bilgi toplama türüdür. Ancak aynı zamanda eyleme geçirilebilir bilgi verme olasılığı en yüksektir. Çeşitli aktif tarama türleri vardır:
- Port Tarama: Bu, hangi bağlantı noktalarının açık olduğunu görmek için iyi bilinen 1024 bağlantı noktasını veya tüm bağlantı noktalarını (65.535 vardır) tarama işlemidir. Bu durum bir saldırgana önemli bilgiler verebilir. Örneğin, bağlantı noktası 161 hedefin yararlanılabilecek bir güvenlik açığı sağlayabilen Basit Ağ Yönetimi Protokolü kullandığını belirtir. 88 numaralı bağlantı noktası ise bir saldırgana hedef sistemin Kerberos kimlik doğrulaması kullandığını bildirir.
- Numaralandırma: Saldırganın hedef ağda ne olduğunu bulmaya çalıştığı bir işlemdir. Paylaşılan klasörler, kullanıcı hesapları ve benzeri öğeler aranır. Bunlardan herhangi biri bir saldırı noktası sağlayabilir.
- Güvenlik Açığı Değerlendirmesi: Bu, bilinen güvenlik açıklarını aramak için bazı araçların kullanılmasıdır. Saldırgan ayrıca güvenlik açıklarını manuel olarak değerlendirmeye çalışabilir.
Aktif tarama için İnternet’te bir dizi araç bulunabilir. Bunlar çok basit olandan karmaşık olana kadar f. Bilgisayar suçlarının önlenmesi veya bilgisayar suçlarının soruşturulmasıyla ilgilenen herkes bunlardan birkaçına aşina olmalıdır.
Port taraması yaparken, birkaç seçeneğiniz vardır. En yaygın tarama türleri ve sınırlamaları aşağıdaki gibi sıralanmıştır.
- Ping taraması: Bu tarama, hedef IP adresine bir ping paketi gönderir. Bir portun açık olup olmadığını kontrol etmeyi amaçlar. Ping taramasıyla ilgili sorun, birçok güvenlik duvarının ICMP paketlerini engellemesidir. Internet Denetim İletisi Protokolü (ICMP), ping ve tracert (Unix / Linux kullanıcıları için traceroute) tarafından kullanılan protokoldür.
- Bağlantı taraması: Bu tarama türü, belirli bir bağlantı noktasındaki hedef IP adresine tam bağlantı kurmaya çalışır. Bu en güvenilir tarama türüdür. False positive sonuçlar üretmez. Ancak, hedef ağ tarafından algılanması en muhtemel tarama türüdür.
- SYN taraması: Bu tarama, ağ bağlantısının nasıl çalıştığı bilgisine dayanmaktadır. Herhangi bir sunucuya her bağlandığınızda, bir paket alışverişi bağlantıyı görüşür. Makineniz senkronize etmek anlamına gelen bir SYN bayrağı olan bir paket gönderir. Temel olarak, bağlanmak için izin istemiş olursunuz. Sunucu bir SYN-ACK bayrağı olan bir senkronizasyon-onayı olan bir paketle yanıt verir.
Sunucu “tamam, bağlanabilirsiniz” cevabı verir. Bilgisayarınız daha sonra ACK bayrağı olan bir paket gönderir ve yeni bağlantıyı kabul eder. SYN taraması, her bağlantı noktasına bir bağlantı isteği gönderir. Bu portun açık olup olmadığını kontrol etmek içindir. Sunucular ve güvenlik duvarları düzenli olarak SYN paketleri aldığından, hedef sistemdeki alarmları tetikleme olasılığı düşüktür.
- FIN taraması: Bu taramada FIN bayrağı veya bağlantı bitmiş bayrağı ayarlanmıştır. Bu genellikle hedef ağda istenmeyen ilgiyi çekmeyecektir. Çünkü bağlantılar rutin olarak kapatılmaktadır, bu nedenle FIN bayrağı ayarlı paketler olağandışı değildir.
Diğer taramalar arasında bayrak ayarlanmamış Null tarama ve bayrak ayarlı XMAS tarama bulunur. Hangi tarama kullanılırsa kullanılsın, çoğu sunucu veya güvenlik duvarı günlüklerinde saldırı izini bırakacaktır.