Ahhh bilgisayar ve internet… Artık neredeyse hepimizin bir parçası olmuş durumda… Tabii bunun getirilerinin olmasının yanı sıra götürdüğü şeyleri de göz ardı etmemek gerek. Faydalarını saymakla bitiremeyiz. Ama eğer yeterli güvenlik önlemini almadıysak başımıza örülecek çorap çok büyük olabilir. Bu yazıda kendinizi güvende hissetmemeniz için elimden geleni yapacağım. Çünkü hiçbir ağ yeterince güvenli değildir. Bunu küçük bir tecrübe ile ben de anladım. Eğer çok şanslı biri değilseniz bilgisayar kullanmaya Microsoft ve kapitalist dayatmalardan ötürü Windows nev’i işletim sistemleri kullanarak başlamışsınızdır. Ben de öyle başladım… Herkes size çevredeki zararlı programlardan, virüslerden, Truva atlarından ve meraklı gözlerden korunmanın yolunun güvenlik duvarını açık tutmanız ve iyi bir anti-virüs programı kullanmanız gerektiğini söyler. Bu konuda herkes uzmandır. Bu işlemleri yaptıysanız artık güvende olduğunuzu varsayarak dahası inanarak, her türlü yere pervasızca girip çıkarsınız. Artık kalelerinize güvenerek, her türlü atı koşturursunuz. Ama işler öyle değildir. Siz dışarıda kendinizden emin dolaşırken, kötü amaçlı biri, belki de kalenizi içeriden fethetmek için elinden geleni yapıyordur. Bilemezsiniz… Linux/Unix türü işletim sistemlerinde internetten gelecek olan tehditlere karşı çok güçlüsünüzdür ama ya yerel ağ? Elbette korunma yolları da mümkündür fakat çoğu kişi bundan habersiz! Önce problemden bahsedelim. Bu yazımızda yerel ağımızda ve girdiğimiz halka açık ağlarda bizi ne gibi tehlikeler bekliyor onlardan bahsedeceğiz. Tabii bunu yaparken en önemli aracımız Ettercap olacak. Peki ama nedir bu Ettercap?
Ettercap çok özellikli bir trafik analiz ve trafik injection programıdır. Ettercap ile basit trafik dinleme işlemlerinden öte switch’li ağlarda birçok geçerli yöntem(apr spoofing, arp poisoning, mac address cloning) kullanarak trafik izleme , trafiğe yön verme işlemleri gerçeklenebilir. SSL bağlantılarında araya girerek sadece trafiği izlemekle yetinmeyip izlenilen trafiğin değiştirilmesini de sağlar(MITM). Ettecap kullanarak özellikle Layer2 üzerinde çalışan protokoller ve işleyiş yapıları iyice öğrenilebilir.(*3)
ARP(Address Resolution Protocol) Poisoning ve MITM(Man In The Middle) atak yöntemlerini basitçe anlatan şema aşağıdaki şekildedir.
Şema dikkatlice incelenirse Hacker(Kuru Kafa olan PC:)) ethernet protokol mimarisindeki açıktan yararlanarak router ve istemci arasına girmiş. Herkes öyle söylüyor (Bir şekilde girdiği aşikar bu konuda benimde bildiklerim, okuduklarım kadar. Bu konunun daha iyi anlaşılması için ARP konusu detaylıca araştırılmalı diye düşünüyorum). Ama benim anladığım ARP, router ve istemci arasındaki kimlik doğulamasını yapmayı sağlıyor. Sağladıktan sonra, veri alışverişini sağlıyor. Buradaki Hacker ise sahte ARP istekleri göndererek kendini istemci olarak tanıtıp ortaya geçiyor ve artık tüm bilgi alışverişi Hacker’in üzerinden geçiyor. Bu sayede Hacker hangi bilgiyi nasıl göndermek isterse o şekilde süzerek veya değiştirerek gönderiyor…
(Not: Hacker diyorum ama burada bahsedilen Siyah Şapkalı Hacker’dır. Arasındaki farkı görmek için bkz.)
Görüldüğü gibi çok tehlikeli bir durum gelin daha yakından inceleyelim;
Man In The Middle(Ortadaki Adam) atak yöntemi;
Router ve İstemci arasına geçen tüm trafiğe Hacker artık hakim… Alice ve Bob durumu açıklamak için yine yardımımıza koşacak…:)
Evet işin teorik kısmı bitti… Sanırım neler olabileceğini ve Ettercap’ın nasıl çalıştığını anladık. Şimdi kuralım ve kendi gözümüzle görelim…
Pardus 2009. 2 için;
Paket Yöneticisinden “ettercap” diye aratın ve kurun.
Ubuntu’da Yazılım Merkezi’ni kullanabilirsiniz. BackTrack 4’de ise kendisinde varsayılan olarak kurulu…
Pardus’ta Alt+F2 kombinasyonunu kullanın ve gelen “Komut Çalıştır” penceresine “ettercap” yazarak çalıştırın. (Ben Pardus’ta menüler arasında bulamadım:) Eklemek için kmenuedit kullanılabilir.)
Evet karşımıza şöyle bir pencere gelecek…
Bundan sonra ekran görüntülerindeki adımları izleyiniz…
İlk Olarak Options sekmesinden Set netmask (Ağ maskesi’ni) “255.255.255.0” olarak ayarlayınız.
Sniff sekmesinden > Unified Sniffing… ‘ı seçin ve karşınıza gelecek kutucuktan sniff yapacağınız arayüzü seçin…
Daha sonra karşımıza daha fazla sekme gelecek. Orada Hosts sekmesinden Scan for Host seçeneğine tıklayınız ve bekleyiniz…
İşlem bittikten sonra Mitm(Man In The Middle) sekmesine geliniz… Arp poisoning… seçeneğine tıklayınız. Karşınıza aşağıdaki gibi bir ekran görüntüsü gelecek.;
Ekran görüntüsünde olduğu gibi Sniff remote connections. Seçeneğini işaretleyiniz.
Sonra Start sekmesinen “Start Sniffing” diyerek işlemi başlatınız…
Şimdi birkaç ayar yapmaya geldi sıra… View menüsünden “Visualization method…” seçeneğine tıklayalım ve oradan UTF8‘i seçelim ki sniff edilen veriler Türkçe karakter sorunundan bizi kurtarsın…
Şimdi yine View menüsünden “Connections” sekmesine tıklayalım vee sonuç kesinlikle ürkütücü! Router’a gönderilen ve desteklenen portlara cevap verilen isteklerin hepsi burada… Buradan ağınızdaki kişilerin nerelere girdiğini ve neler yaptığını izleyebilirsiniz… Dolayısıyla izlenebilirsiniz…
Ayrıca ağınıza kimler bağlı görmek için View> Profiles seçeneğini kullanın. Tehlikeyi daha iyi göz önüne sermek için size iki örnek vereceğim… Varsayalım ki ağımızın yöneticisi modemimizin web arayüzüne erişmek istedi ve 192.168.1.1 den web arayüzüne erişti ve kullanıcı adı ve parolasını sizin sniff ettiğiniz sırada girdi… Bakalım ne olacak??
İşaretli alana dikkat edin! Eğer parolanızın şifrelenerek gönderilmediği bir alana erişim yapıyorsanız, ettercap he zaman kullanıcı ad ve parolanızı yakalayacaktır! Diğer bir çarpıcı örneğimiz ise msn konuşmalarımız… Bunun için diğer makinamdan bir arakadaşımla konuşayım bakalım ettercap ne yapacak?? Bu arada MSN’nin 1863 nolu portu kullandığını unutmayalım. Çünkü ettercap’ta 1863 nolu porttan gelen verileri inceleyeceğiz…
Benim makinamın ip’sinin olduğu 1863 nolu portta yukarıda görüldüğü gibi bir msn konuşması yakalanmış! Bu korkunç bir şey! Düşünsenize her gün msn de arkadaşlarınızla neler konuşuyorsunuz?? İşte en azından gündelik ağlarımızın ve kamuya açık ağların ne kadar güvensiz olduğunu ve çok basit araçlarla ne gibi bilgilerimizin ele geçirilebileceğine şahit olduk. Ettercap gerçekten işini iyi yapan bir ağ dinleme programı ama benim öğrendiğim ve size aktardığım sadece “E” harfi idi. Bu sadece küçük bir araştırma sonucunda edinilmiş bilgi ve veriler. Tavsiyem şu ki kesinlikle ağ güvenliği konusunda araştırmalar yapın ve etrafınızdakileri bilinçlendirin. İnternette bu konuda önlem alma yöntemleri mevcuttur. Önlem için ;
Öncelikle;
1- Cüneyt BERGEL Bilişim Güvenliği ve Bilişim Hukuku
2- IT Eğitim
sayfalarında güzel öneriler bulabilirsiniz. Gözünüzü 4 açın!
Saygılarımla…
REFERANSLAR
1- http://openmaniak.com/ettercap.php
2- http://en.wikipedia.org/wiki/ARP_spoofing
3- http://csirt.ulakbim.gov.tr/dokumanlar/acikkod_guvenlik.pdf
4- http://userpages.umbc.edu/~dgorin1/451/security/dcomm/authentication.htm