Footprinting

ceh_blackC|EH eğitiminin bir sonraki modülü olan footprintingde bahsedeceğim. Footprinting hedefimiz hakkında bilgi toplamaktır. İşimize yarayabilecek her türlü bilgiyi kullanmak için, her türlü bilginin peşine düşmemiz gerekir. Bu kısımda hedefimize ait her türlü bilgi bir sonraki aşamalarda işimize yarayacaktır.

İnternet üzerinden yayınlanan her türlü bilgi hedeflerimizin aslında açıklarıdır. Çünkü yayımlanan her bilgi hackerların gözünde dolar işaretlerinin belirmesine neden olabilir 🙂 Buna örnek vermek gerekirse, bir bankanın yada bir şirketin açıklayacağı yıllık cirosu, hackerların kendisi için almak isteyeceği parayı yada kendisine kazandırcağı ünü düşündürür. Peki hackerlar neler arar? Hedefin finans bilgilerinden tutunda, bünyesinde çalışan insanlara, IT altyapısına kadar herşeyi ararlar… Bu tür bilgileri nerelerden ararız peki? Chat odaları, hedefin kendi web sitesi, bloglar, haber grupları, google ve whois sorgusu bize hedefimiz hakkında her türlü bilgiyi sağlayacaktır.

Tabiki bizler IT hedefli bilgileri aradığımız için bu bilgi gruplarından IT tabanlı olanları arayacağız. Topladığımız bilgiler sayesinde hedefimizin IT altyapısını blueprint yaparız, yani haritalarız. Bu şekilde elimizde altyapı olacağı için neye nasıl saldıracağımızı daha iyi biliriz.

Dört bölgede bilgi toplarız:

  • İnternet
  • Intranet
  • Extranet
  • Remote Access

Bu bölgelerde arayacağımız bilgiler, IP aralıkları, DNS serverlar, authentication mekanizmaları, ACL ( erişim listeleri), uzaktan bağlanmak için kullanılan altyapı ve authentication mekanizmalarıdır.

Yukarıda belirttiğim bilgileri toplamak için bazı bilgi toplama yöntemleri var. Burada bilgi toplamak için kullanılan yöntemlerden bahsedeceğim. Hedefimizin web sitesini bulmamız için önce hedefimizin urlsini bilmemiz gerekir. Bu yüzden googledan araştırma yapacağız. Normalde siz googleda bir bilgi ararken istediğiniz hedef dışında birçok siteyi karşınıza getirecektir. Bunun optimizasyonunu sağlamak için bir sonraki modüle Google Hackingte bahsedeceğim. Şimdi googleda hedefimizi yazdık ve karşımıza hedefimizle ilgili web sitesi geldi. Bu web sitesi bir DNS server ve web server üzerinde bulunacağı için ve eğer hosting yapılmıyorsa ele edeceğimiz IPler networke ait IPler olacaktır. Başka bir bilgi toplama türü ise whois sorgusudur. Whois sorgusunda bir web sitesine ait bütün bilgileri bulabilirsiniz. IP aralıkları, hosting bilgileri, isim tescil kayıtları ve iletişim bilgilerini bulabiliriz. Bu noktada alabileceğiniz en önemli güvenlik önemli whois sorgsunda karşınıza çıkacak olan iletişim bilgileridir. Eğer sorguda karşınıza bir iletişim bilgisi geliyorsa %90 ihtimal o kişi o hedefte çalışıyordur. Buda hedefe ulaşmamıza neden olabilecek bir açıktır. Bu yüzden arkadaşlar ya iletişim bilgilerini kapatıyoruz yada farklı iletişim bilgisi yayımlıyoruz. Bu şekilde kendi organizasyonumuzda çalışan kişileri ortaya çıkarmamış oluruz. Nslookup sorgusu whois sorgusuna benzer bir sorgu türüdür ve yapması çok kolaydır. Komut istemcisini (cmd) açıp, nslookup yazıp enter tuşuna basın. Daha sonra hedef web sitesini yada IPyi yazın. En son olarak bir sorgu oluşturmamız gerekecek. set query = ALL yazıp enter tuşuna bastığımız an hedefimizin bilgileri karşımıza gelecektir.

Peki bir web sitesinin eski halini görmek istersek napmamız gerekir? archive.org sitesine bağlanıp bir web sitesinin eski hallerini görmemiz mümkündür arkadaşlar. Burada google ve microsoftun eski halleriniz görebilirsiniz.

En son kalan iki yöntem olan traceroute ve pingtir. İkisi yapı olarak aynıdır. Ping komutu ile hedefimizin ayakta olup olmadığını öğrenebiliriz arkadaşlar. Traceroute komutu da hedefimizi bulmak ve bulana kadar geçen yolda eriştiğimiz diğer networklerdir. Eriştiğimiz bu networklere hop deriz. Karşımıza çıkan her network aygıtı bir hop olarak değerlendirilir. Traceroute yapmak için cmd açıp tracert yazıp DNS yada IP yazmanız yeterlidir ( Windows), linux tarafında ise traceroute yada tracepath yazıp aynı işlemi tekrarlayabiliriz.

Traceroute sonucu karşımıza geldiğinde birkaç şeyi tahlil etmemiz lazım. Her adımda atlanılan hop sayısı 3 olarak belirtilmiş olup adımlardaki hopları tahlil edelim. Öncelikle traceroute yaptığınızda karşınıza yıldızlar çıkıyorsa veya ping attığınızda isteğiniz zaman aşımına uğruyorsa bunun iki anlamı vardır :

  1. Ping attığımız yada traceroute yaptığımız yer metrik olarak yani fiziksel olarak gerçekten uzaktaysa isteğiniz kablo ortamında ilerlerken kaybolacaktır. Çünkü eski sistem kablolama yapılarında her 100 metrede 1 byte kayıp olur. İşte bu kayıp yüzünden hedefimize ulaşamayabiliriz.
  2. Diğer ihtimal ise hedefimizde firewall yada IDS bulunuyorsa isteğimizi reddetme durumunda isteklerimiz zaman aşımına uğrayacaktır.

Bu tahlil esnasında bakacağımız diğer bir olay ise, her aşamadaki son hopların incelenmesidir. Eğer son hoplar arasındaki fark 80 ve üzeri ise kendi ülkenizin dışındaki bir ülkedeki DNS e istekte bulunmuştur. Eğer 100 ve üzeri ise deniz aşırı bir ülkeden istekte bulunulmuştur.

Hedefimizin network aralıklarını bulmak istersek isim kayıtlarını yapan kayıt tutuculara başvurabilirsiniz. En meşhur olanları ARIN, LACNIC, APNIC ve RIPE dir. Bunlar bulundukları bölgelere göre kayıt tutarlar.

Bu saydığım bilgi toplama türlerini bir tool sayesinde rahatlıkla yapabilirsiniz. Sam spade toolunu indirdiğiniz zaman bunları yapabilirsiniz.

Hedefimizin fiziksel altyapısı hakkında bilgi toplamanın diğer bir türü de iş ilanlarıdır. Evet yanlış duymadınız iş ilanlarıdır. Çünkü iş ilanlarında herkes kullandığı server ve network altapısını belirtir. Mesela 2003 server kullanmayı bilen bir insan aranıyorsa o sistemde muhakka 2003 server vardır. Kimse kullanmadığı bir yapıyı iş ilanına koymaz. Burada alınabilecek en önemli güvenlik önlemi, iş ilanlarınızı özel değil genel olarak yayımlamaktır. Yani serverın modelini yazmak yerine, server yönetmeyi bilen derseniz sizin için daha güvenli olacaktır. Düşündüğünüz zaman size bir iş yükü ve zaman kaybı yaşatabilir çünkü si MS server kullanırken unix uzmanlarıda bu ilana başvurabilir ancak çok daha güvenli olacaktır.

Hedefimizin finans bilgileri için google ve yahoo finance kısımlarını kullanıp, anlık finans bilgilerine ulaşabilirsiniz.

İnsan arama sitelerinde de hedefimizde çalışan kişiler hakkında bilgi toplayabiliriz. En rahat insan arama sitelerinden birkaçı, facebook, orkut, myspacedir.

Size eskiden çok meşhur olan ancak şimdi önlemi alınan bir saldırı türünden bahsedeceğim. Expired domainler yani süresi dolmuş domainler eskiden haber verilmeksizin başka sitelere satılabiliyordu ancak şimdi domain süreniz bitmeden 3 ay önce size uyarı mesajları gelmeye başlıyor. Süre dolduktan 15 gün içinde isim hala satılmaz ve sahibi beklenir. Ancak bu süre dolduğunda isim hakkı satılır. Eskiden haber verilmediği için insanlar siteleri rahatlıkla satın alıp siteye sahip olabiliyorlardı.

Peki biz sitemizin arama motorlarında çıkmasını istiyoruz ancak sitemizin her kısmının yayımlanmasını istemiyorsak robots.txt dediğimiz bir text dosyası sayesinde izinleri kendimiz belirleyebiliyoruz. Bu şekilde arama motorları istediğimiz bölümleri yayımlar diğer kısımları yayımlamaz. Bunun içinde :

user agent *

disallow cgi/bin

cgi/store

gibi yazıp arama motorunun girmesini istemediğimiz yerleri belirtebiliriz.

Teşekkür ederim.

Gökay BEKŞEN

Yorum yapın