BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

Saldırıların Sebepleri

• Kişisel tatmin

• Parasal kazanç

• Meşhur olmak

• Terörizm

• Casusluk

Bilgisayar sistemlerine yapılan saldırılar

• Normal ve sistem tarafından olması istenilen bilgi akışına yapılan saldırılar temelde dört çeşittir. Bunlar;

1- yarıda kesme, (interruption),

2- gizli dinleme (intercept),

3- değiştirme (modification)

4- imalat veya üretim (fabrication) olarak

adlandırılmaktadır.

Bilgisayar sistemlerine yapılan saldırılar

a)Normal bilgi akışı b) kesme c) dinleme d) değiştirme e) üretim

Bilgisayar sistemlerine yapılan saldırılar

• Yarıda kesme (= engelleme = hizmet aksatma), kaynak ve hedef arasındaki bilgi akışına engel olunarak iletişim koparılır. Burada sistemin değerli bir varlığı (yazılım, belge, veri, bilgi, vb.) yok edilir, erişilemez veya elde edilemez hale getirilir. Aktif bir saldırıdır. Bu saldırı türüne yaygın olarak DOS saldırısı da denir.

Bilgisayar sistemlerine yapılan saldırılar

• Gizli dinleme, kaynak ve hedef arasındaki bilginin, saldırgan tarafından çeşitli şekillerde elde edilmesidir. Burada yetkisiz taraf sistemin değerli bir varlığına erişim kazanmaktadır. Pasif saldırı olarak da tanımlanır. İki bilgisayar arasındaki paylaşımı yakalamaya "sniffing" (koklama) denir. Snifferlar(koklayıcılar) da bu işi yapan programlardır.

Bilgisayar sistemlerine yapılan saldırılar

• Değiştirme, kaynak tarafından hedefe gönderilmek istenen bilgi, araya girilerek elde edilir ve bu bilgi üzerinde değişiklik yapılarak, hedefe kaynaktan geliyormuş gibi gönderilir. Burada, yetkisiz taraf sisteme erişim hakkını kazanmakla kalmaz, ayrıca sistemin değerli bir varlığını değiştirir. Aktif bir saldırıdır.

• İmalat veya üretim ise, saldırgan tarafından üretilen suni bir bilginin, sanki kaynaktan geliyormuş gibi hedefe gönderilmesidir. Burada yetkisiz taraf, sisteme sahte nesneler ekler. Aktif bir saldırıdır.

Bilgisayar sistemlerine yapılan saldırılar

1-Yarıda kesme=Hizmet aksatma

• DoS açılımı ‘Denial of Sevice’ olan hizmet aksatma amacını güden bir saldırı yöntemidir. Sisteme düzenli ve sürekli olarak saldırılması sonucu sistemin hizmet veremez hale gelir. Ayrıca DoS saldırılarıyla hedef sisteme ait kaynakların tüketilmesi de amaçlanır. Bu saldırı çok önemli sunucuların hizmet dışı kalması gibi sorunlara yol açabilir.

DoS saldırıları iki aşamalıdır :

• DoS saldırısı yapacak olan sistemler hazırlanır ya da ele geçirilir. Bu sistemlere gerekli programlar yüklenir.

• Hazır olan sistemler ile hedef sisteme saldırı başlatılır.

Dos saldırı türlerinden bazıları şunlardır :

• Arabellek aşımı : Bir sisteme karşılayamayacağı kadar yoğun bir trafik gönderilmesiyle arabelleğinde veri aşımı oluşturulmasıdır. Arabellek sunucuların hafızada ard arda türdeş verilerin depolandığı hafıza bloğudur. En yaygın saldırı şekli budur.

• SYN saldırıları : Bu saldırı türünde saldırgan, internet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.

Dos saldırı türlerinden bazıları şunlardır :

• Treadrop saldırıları : Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.

Dos saldırı türlerinden bazıları şunlardır :

• Smurf saldırıları : Bu saldırı türünde, saldırgan hedef bilgisayardan ping isteğinde bulunur. Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır. Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar. Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.

• Servislere Aşırı Yüklenme : Bu saldırı tipi belirli kullanıcı ve servisleri düşürmek için kullanılır. Saldırı yapan kişi özel port ve kullanıcıya bir çok ICMP paketi (Internet Control Message Protocol) gönderir. Bu olay ağ izleyicisi ile kolayca anlaşılır.

Dos saldırıları

Dos saldırılarında saldırının analiz edilmesi gerekmektedir. İnternet hızının düşüklüğü ve e-posta alamama gibi sorunlarda dikkat edilmelidir. Bu gibi durumlarda sistemin çıkış noktasına bakılır. HTTP Proxy ise sisteme gelen isteğin tek bir sistemden mi yoksa birden fazla sistemden mi geldiğin analiz edilmelidir. Eğer çıkış noktası ağ geçidi ise sisteme gelen paketlerin kontrol edilmesi gerekmektedir. Güvenlik duvarları bu saldırıları engellemek konusunda yetersizdir. Hangi isteğin saldırı hangisinin gerçek olduğunu ayırt edemezler. Dolayısıyla IP bazında engelleme yapmak mümkün değildir. Günümüzde internet güvenliğini tehdit eden en tehlikeli saldırı Ddos'tur(Dağınık Dos). Engellenemez oluşu ve sistemi çalışamaz hale getirmesi nedeniyle hacker aktivist gruplarınca bir tehdit unsuru olarak kullanılmaktadır. Kimi zaman hükümetlere ve büyük şirketlere ait sunuculara açık olarak önceden bildirilerek saldırılar yapılmaktadır.

Dos saldırılarından korunmak için iki yöntem vardır :

1-Bant genişliği saldırıları ve korunma yöntemleri:

Bu tür saldırılar savunulması en zor olan DoS saldırılarıdır, bu sebeple ataklara neden olan paketler güvenliği sağlanılması istenen sistemin ağ geçidine girmeden bu paketlerin alımını durdurmaktır. Paketlerin ağ geçidine girmeden engellenmesi için TCP SYN, UDP veya ICMP gibi aynı tür paketlerin arka arkaya geldiği takdirde takibini ve kontrolunu sağlayan yazılım kurulması gerekmektedir. Paketlerin bir ya da ikiden fazla farklı ip adresinden gönderildiği göz önüne alınırsa bu durumda İnternet Servis Sağlayıcısı’ndan destek alınması gerekmektedir.

Dos saldırılarından korunmak için iki yöntem vardır :

2-Sistem ve servis saldırıları ve korunma yöntemleri: Bu tür saldırılar tüm ağdan çok bir ya da birkaç sisteme yönelik yapılır. Bu saldırılar birim zamanda çok yüksek sayıda paket gönderilerek, hafızada sorun yaratılarak ve yüksek sayıda geçerli istek gönderilerek yapılabilir. Standart olarak ağ kartı paket aldığı her defada işlemciye yönelik bir istek yaratır. Bunun üzerine işlemci bu paketi ağ kartından almak üzere belirli bir zaman ayırır. TCP SYN paketleri SYN ACK paketlerini cevap olarak göndermeden önce bir zaman geçmesi gerekir. Aynı şekilde TCP, UDP ve ICMP paketleri de SYN kadar zaman almasa da yine de belirli bir zaman kaybına neden olur. Bunların dışında paket büyüklüğü ve sayısının da bant genişliğinde oluşabilecek sorunlarda büyük etkisi vardır. Zaman ayırma, paket büyüklüğü ve sayısı gibi problemler için daha güçlü cihazlar ya da bu sorunları azaltmak, engellemek için eklenmesi gerek komutlar kullanılmalıdır. Donanım için fazla harcamalar dışında bu sorunların çoğu “sysctl(8)” komutu kullanılarak çözülebilir. “sysctl(8)” komutu sayesinde yüksek paket geliş oranında sınırlamalar yapılabilir.

2- Gizlice Dinleme (Sniffing)

Paket koklama (sniffing) lokal ağ üzerinden akış yapan işe yarayabilecek verilerin yakalanması sürecine denmektedir. Paket koklama genellikle sistem yöneticileri tarafından ağ üzerinde var olan problemleri tespit etme veya ağ üzerindeki izinsiz girişleri tespit etmek için kullanılmaktadır. Bu iyi ve pozitif amaçlar için tasarlanmış ve kullanılması düşünülmüş yöntemin ve araçların tabi ki kötü amaçlar için kullanılması kaçınılmazdır.

Sniffing

Paket koklama için geliştirilmiş Wireshark, Ettercap veya NetworkMiner gibi uygulamaların ağ üzerindeki paket trafiğini izleyerek kullanıcıya anlaşılır bilgiler sunabilmektedir. Paket koklama pasif bir tekniktir yani paket koklama yapan kişi ağ üzerinde bulunan veriyi dinlerken herhangi bir bilgisayara saldırmaz, paket koklama sizin sisteminiz ile ağ geçidi (gateway) arasındaki diyaloğu yani veri konuşmasını dinlemektedir. Koklama işlemi pasif bir metod olduğundan dolayı bilgisayarınızda çalıştıracağınız güvenlik duvarları, antivirüsler veya herhangi savunma amaçlı uygulamalar koklama etkinliğinden habersiz olacaklardır.

Sniffing

Ağ trafiği üzerinde veri akışı bilgisayar ile ağ geçidi arasında gerçekleşmektedir. Yani bilgisayarlar internet’e çıkarken bilgilerin direkt olarak router veya switch’e (çoğu adsl modem, hub, ağ cihazları) ve oradan da ağ geçidi üzerinden internet’e çıkmaktadır. Ancak bu işlem direkt olarak gerçekleşmemektedir. Bir istem verisi bilgisayardan çıktıktan sonra ağa bağlı tüm diğer sistemlere veya switch’lere ulaşmakta ve bu lokasyonlar gelen paketlerin kendilerine ait olup olmadığına karar vererek kabul veya reddetmektedirler.

Sniffing Örnek: Bilgisayarınızın web tarayıcısına http:// ile başlayan adresini yazdığınızda bilgisayarınız bu istemi ağdaki tüm ağ aygıtlarına (fiziksel olarak kablolu veya kablosuz bağlı olan router,switch,hub,adsl modem switch) ve bu ağ’a bağlı diğer bilgisayarlara (fiziksel olarak kablolu veya kablosuz bağlı olan) ulaştırmakta ve basit olarak bilgisayarlar bu istemi reddetmektedirler. Ağ aygıtınız olan router veya switch’iniz bu istemi kabul ederek size bu bağlantıyı sunmak üzere gerekli bağlantıları ve işlemleri yaparak cevap vermektedir. Verilen bu cevap yine ağ üzerindeki tüm bağlı sistemlere ulaşmakta ancak bir tek sizin bilgisayarınız bu istemi yaptığı için kabul etmekte diğerleri reddetmektedirler. İşte bu noktada ağınız üzerinde paket koklayıcı bir sistem bulunuyor ve o anda aktif olarak ağınızdaki paket trafiğini kokluyorsa size gönderilen bilginin aynısını bu bilgisayarda alacaktır.

Sniffing

Paket koklama yöntemi ile ağımızda fiziksel olarak bağlı olan başka bir bilgisayar verilerimizi ele geçirebilmektedir. Peki ne tür veriler koklanabilmektedir? İnternet basit metin (plain text) tabanlı çalışmaktadır. Bu da basit metinlerin ağınızda bulunan paket koklayıcısı tarafından kolayca elde edilebilmesi anlamına gelmektedir. Dolayısıyla aslında internet’e çıktığınız andan itibaren kullandığınız tüm kodlanmamış/şifrelenmemiş (unencrypted) veriler kolayca elde edilebilmektedir. Ancak bağlandığınız site sizinle SSL gibi kodlanmış/şifrelenmiş (encryption) yöntemlerle haberleşiyorsa bu bilginizin daha güvenli olduğunu göstermektedir.

Sniffing Paket koklama verilerin toplanması ve okunabilmesinin dışında çeşitli yöntemlerle kişinin bilgisayarından oturum bilgilerini de elde etmesi ve bunu kullanması söz konusu olabilmektedir. Örneğin Session Hijacking denilen yöntem ile kurbanın internet tarayıcısında girdiği sitenin oluşturduğu oturum çerezlerini (session cookie) koklayabilmekte ve bunu kullanabilmektedir. Sosyal paylaşım sitelerine giriş yaparken her seferinde kullanıcı adı ve parola bilgileri girmemek için “beni bu bilgisayarda hatırla” gibi bir giriş politikası işaretlediğinizde bu site bilgisayarınızda bir oturum çerezi oluşturacaktır. Paket koklama yöntemi ile ağınızda bulunan diğer bir bilgisayar bu oturum çerezini koklayarak elde edebilir ve bu çerezi kendi tarayıcısına ekleyerek hesabınıza giriş yapabilir. Ya da Firefox web tarayıcısı üzerine geliştirilmiş bir eklenti ile ağ üzerinde dolaşan şifrelenmemiş oturum çerezlerinin toplanması ile bu bilgilerin eş zamanlı olarak saldırganın/koklayıcı sistemin web tarayıcısına aktarılması ile ağ üzerinde girdiğiniz web sayfaları, baktığınız fotoğraf/video veya indirdiğiniz dosyaların gerçek zamanlı izlenmesini sağlamaktadır. Benzer şekilde e-posta iletişiminde ciddi tehlikeler vardır.

Sniffing

Bilgi güvenliğini sağlamak için geliştirilmiş Antisniff Toolbox gibi veya buna benzer yazılımlar ile ağı dinleyen/koklayanlar tespit edilebilir. Ayrıca ağınız orta ölçekli veya büyük ölçekli bir ağ yapısında ise ağınızda kullanılan günümüz ağ switchleri veri paket trafiğini tüm sistemlere değil sadece istem yapan sisteme göndererek akıllı trafiği yönetmekte, hem trafiği azaltmakta hem paket çakışmalarını engellemektedir. Kablosuz ağlar da kablolu ağlar kadar tehlikelidir, özellikle kamusal alanda kullanılan ortak kablosuz ağlarda koklama işlemlerinin kolaylıkla yapılabileceğini unutmamak gerekir. Kablosuz ağlardaki WEP veya WPA gibi şifreleme yöntemleri sadece erişim korumasıdır. Aynı ağa dahil sistemler bilgilerinizle aynı WEP veya WPA anahtarlarına sahiptir.