http://blog.bga.com.tr/wp-content/uploads/2010/09/SSL_Kavrami.pdf

Pasif bilgi toplama penetrasyon testlerinde bilgi toplama bölümünün ilk adımını teşkil etmektedir.

Pasif bilgi toplamada kurum ile ilgili tüm bilgiler internet üzerinden kuruma ait sistem ve sunuculara erişmeden toplanmaya çalışılır.

İnternet üzerindeki bilgi toplanacak kaynaklara kısaca bakacak olursak:

- Whois, DNS sorgularını yapabileceğimiz ve pasif bilgi toplamak için kullanılan özel web sayfaları

- Arşiv Siteleri ( archieve.org )

- Arama motorları (Google, Bing, Yahoo vs.)

- Sosyal paylaşım ağları (Twitter, Facebook, Linkedin, Friendfeed vs.)

- Bloglar ve tartışma forumları

- Kariyer siteleri

Yukarıda bahsettiğimiz kaynakları detaylı olarak inceleyecek olursak:

Whois, DNS sorgularını yapabileceğimiz ve pasif bilgi toplamak için kullanılan özel web sayfaları sayfaları

Yapılacak Whois ve DNS sorguları ile hangi bilgiler elde edilebilir?

- Kurumun ait olan ip aralıkları tespit edilebilir

- DNS sorguları ile kurumda çalışan WEB, FTP, MAIL gibi servislerin ip adresleri tespit edilebilir.

- Kayıtlı alan adı(domain) isimlerinin hangi sunucuda tutulduğunu, kontak kişinin bilgisi, mail adresi ve telefon, adres bilgilerine    erişilebilir.
- Kurum web sayfasının nerede tutulduğu bilgisi tespit edilebilir.
- Alan Adı(Domain) geçmişi ve bitiş süreleri tespit edilebilir.
- Belirlenen IP adresi üzerinde çalışan diğer web sayfaları tespit edilebilir.

Whois ve DNS sorguları ile bilgi toplamak için aşağıdaki sayfalar kullanılabilir:

http://www.whois.net

Whois üzerinden bir alan adına ait whois bilgileri sorgulanabilir, alan adı kimin üzerine kayıtlı telefon, faks, mail ve adres bilgilerine erişilebilir.
Alan adının hangi nameserver üzerinde tutulduğu ve teknik kontağın da iletişim bilgileri elde edilebilir.

http://www.robtex.com

Robtex bilinen en iyi pasif bilgi toplama sitelerinden biridir. Robtex üzerinden detaylı Whois bilgisi ve dns kayıtları görülebilir. Bir ip adresi üzerinde çalışan web sayfalarının listesini verebilmektedir.

http://www.ripe.net

http://www.arin.net

Gerçek ip adreslerini dağıtan iki kurum olan Ripe ve Arin üzerinde Whois bilgilerine erişilebilir.

http://www.mxtoolbox.com

Özellikle bir alan adına ait olana MX kayıtlarını sorgulamak, alan adı ile ilgili detaylı SMTP bilgilerini toplama için kullanılır(SMTP Relay, ters dns kayırları gibi.) Sayfa üzerinden aynı zamanda Whois bilgileri sorgulanabilir.

http://www.dnsstuff.com (Ticari)

Whois, DNS ve bir çok sorgunun yapılabileceği ticari bir kaynaktır.

http://www.netcraft.com/

Bir alan adına ait web sayfalarını tespit edebilir, örnek vermek gerekirse google.com veya google.co.uk. Alan adının bağlı olduğu sitelerin listesini verir. Her sitenin detaylarını ip, işletim sistemi, çalışan web platformu ve whois bilgisi belirterek raporlar. Pasif bilgi toplama işleminin vazgeçilmezlerindendir.

http://www.serversniff.net

Güçlü bilgi toplama sitelerden birisi olan serversniff üzerinden elde edilebilecek bilgiler;
-Belirlenen ip adresi üzerinde çalışan diğer web sayfaları (Penetrasyon testi için önem derecesi yüksek olan bir bilgi)
-DNS ve NS kayıtları ile ilgili detay raporlar.
-Alt alan adlarını keşfetme ( bu konuda serversniff oldukça başarılı )
Pasif bilgi toplamada mutlaka kullanılması gereken bir web sayfasıdır.

http://www.centralops.net

Çok güçlü bilgi bir çok bilgi toplama aracını bünyesinde bulundurur. Site üzerinde bir alan adına ait ip, detaylı Whois bilgisi, dns kayıtları (A,MX,PTR vs) ve  TcpQuery bölümünde web sunucu platformuna ait bilgiler  elde edilebilir.  NsLookup bölümden çok gelişmiş DNS sorguları yapılabilmektedir. Pasif bilgi toplamada mutlaka kullanılması gereken sitelerden arasındadır.

http://clez.net

Clez.net ile bir alan adına ait nameserver bilgileri detaylı bir şekilde alınabilir, nameserver ‘ın işletim sistemi, ip adres bilgileri, AS numaraları, zone transferi durumu ve test dns kayıtları bilgilerine ulaşılabilir. Site rapor kısmında tavsiye niteliğinde bir çok güvenlik bilgisini de sunmaktadır. Diğer bir özelliği ise çalışan web uygulaması hakkında detaylı bilgiler vermesidir. Çalışan uygulamanın platform bilgisini vermektedir. Sitenin Whois bölümünde alan adı ile ilgili detaylı whois bilgilerine ulaşılabilmektedir.

Arşiv sayfaları üzerinden bilgi toplama:

Arşiv sayfalarının en büyük özelliği bir web sayfasının geçmişe dönük olarak hemen hemen bir çok versiyonunu tutmasıdır. Bilgi toplarken bir kurumun web sayfasının geçmiş halleri incelenebilir ve kurum hakkında ciddi bilgiler edinilebilir.

http://web.archive.org

Bilinen kaliteli arşiv sayfalarından birisidir, bir çok sitenin geçmiş versiyonlarını içerisinde barındırmaktadır,örnek vermek gerekirse www.hotmail.com ‘un 1996 yılındaki sayfasına kadar görebilirsiniz. Geriye dönük bilgi toplamak için kullanılması gereken sayfalardan biridir.

Arama Motorları ile Bilgi Toplama:

Google kullanımı;

Pasif bilgi toplama işleminde Google önemli bir yere sahiptir. Google ve internetin gelişmesi ile beraber Google Hacking adında bir kavram ortaya çıkmış, hakkında kitaplar dahi vardır. Google üzerinde yapılacak özel arama teknikleri ile dosya arama, mail adresi toplama, site index dizinlerinde gezinme gibi bir çok bilgi edinilebilir. Google üzerinde yapılacak detaylı ana sözcüklerinden bazıları aşağıda bulunmaktadır.

Google ‘da alan adı(Domain Arama):
site:xyz.com

Google ‘da dosya arama
Filetype : xls

Google ‘da bir web sitesi içinde xls dosyası arama
site:xyz.com Filetype:xls

Google ‘de başlık bilgisi ile index dizininde gezinme
intitle:index of

Google ‘da web sunucusu platform bilgisi alma
intitle:index.of “server at”

Google ‘da web sayfalarının admin sayfalarını keşletme
intitle:index.of inurl:“/admin/”

Google ‘da parola dosyaları arama
intitle:index.of passwd
intitle:”Index.of..etc” passwd
intitle:index.of pwd.db passwd
intitle:index.of ws_ftp.ini
intitle:index.of people.lst
intitle:index.of passlist

Google ‘da e-mail adresi toplama
mail:@xyz.com

Google ‘da belli web platformları arama (IIS, Apache Vs.)
Apache/1.3.27 Server at
Microsoft-IIS/5.0 server at

Found Stone SiteDigger ve Google

Google ‘ın arama tekniklerini kullanan ve Google ‘ın ön belleğinde bulunan sayfalarda yukarıdaki bilgi toplama tekniklerini ve sayfa üzerindeki zafiyetleri raporlayan SiteDigger aracı pasif bilgi toplamada kullanılması gereken araçlardandır.

Goolink

Google üzerinden yapılacak bir çok pasif bilgi toplama tekniğini bulundurmaktadır.Goolik ve SiteDigger araçları Google üzerinden pasif bilgi toplama işlemlemlerini otomatik yaptıkları için test sürecinde ciddi derece hız ve zaman kazandırır.

Google ve Google için yazılmış pasif bilgi toplama araçlarını kullanarak kuruma ait kritik bilgiler, mail adresleri, veritabanı dosyaları, yönetici erişimleri ve daha bir çok bilgi elde edilebilir. Elde edilen bilgiler penetrasyon testinin diğer aşamaları için ciddi değer ve önem taşır.

Microsoft  Bing kullanarak bir ip üzerinde bulunan Web sayfalarının keşfedilmesi

Microsoft ‘un arama motorun Bing ‘i kullanarak bir ip adresi üzerinde bulunan tüm web sayfaları keşfedilebilir. Arama kısmına sitenin ip adresi “ip: XYZ.XYZ.XYZ.XYZ” şeklinde yazılarak arama yapılır ve çıkan arama sonucunda o ip adresi üzerinde çalışan web sayfaları görüntülenir.

İş Arama, Kariyer ve Sosyal Paylaşım Ağları Siteleri Üzerinden Bilgi Toplama

İş arama ve kariyer siteleri üzerinden bir kurum ile ilgili ciddi bilgiler elde edile bilir, özellikle bilgi teknolojileri için açık bir pozisyon var ise aranan pozisyon ile ilgili bir çok teknik detay verilir. Örnek MS Exchange 2010 konusunda tecrübeli …

Sosyal Paylaşım Ağları Sayfaları

İnternet dünyasının vazgeçilmezleri arasına giren sosyal paylaşım ağları her gün çığ gibi büyümekte ve gerek kurumsal gerekse kişisel bir çok bilgiyi içermektedir. Pasif bilgi toplarken mutlaka kullanılması gereken bir yöntemdir. Başlıca kullanılacak sosyal paylaşım ağları:

www.linkedin.com ==> İş dünyası ve kişiler hakkında çok detaylı bilgiler elde edilebilir

www.facebook.com ==> Kişisel bilgi toplamak için bilinen en etkili ağ

www.twitter.com ==> Hem kişisel hem de kurumsal bir çok bilgiyi barındır.

www.friendfeed ==> Hem kişisel hem de kurumsal bir çok bilgiyi barındır.

Son zamanlarda sosyal paylaşım ağları toplum mühendislerinin (dolandırıcıların ) gözdesi olmuştur.

Bloglar ve Tartışma Forum Sayfalarından Bilgi Toplama

Günümüzün vazgeçilmez bilgi kaynaklarından olan blog ve tartışma forum sayfaları, içerisinde envai çeşit bilgiyi barındırmaktadır. Pasif bilgi toplarken arama motorlarını kullanarak kurumlar hakkında blog ve tartışma forum sayfaları taranabilir, bu sayfalar içinde kurum ile ilgili kritik veya kritik olamayan bilgiler bulunabilir.

Google üzerinden forum ve blog sayfaları içinde etkin arama yapmak için
“xyz holding + forum” veya “xyz holding + blog” yazıp detaylı aramalar yapılabilir.

Kişisel Bilgi Arama Sayfalarından Bilgi Toplama

Bilgi arama sayfalarını kullanarak kişiler hakkında pasif bilgi toplama işlemi yapılabilir. Bilinen kişisel bilgi arama sayfaları:

www.pipl.com veya

www.bestpeoplesearch.com üzerinden kişisel bilgiler aranabilir.

Penetrasyon testlerinden bilgi toplamanın ikinci adımı aktif bilgi toplama işlemidir, bu adım pasif bilgi toplama işleminden sonra gelmektedir. Pasif bilgi toplama işlemi ile kurumun ip ve servis bilgilerinin bir çoğu keşfedilirve  aktif bilgi toplamada ise keşfedilen ip ve servisler üzerinden özel araçlar ve yöntemler ile tarama işlemi gerçekleştirilir. Aktif bilgi toplama işleminde test edilecek sistemler ile temas sağlanır ve bu temas kurumun güvenlik uzmanlarınca  güvenlik cihazları loglarında tespit edilebilinir, en basitinden bir ip adresine yapılacak tarama firewall loglarına düşecektir.

Aktif bilgi toplama ile neler elde edilebilir?

DNS SORGULARI: Yapılacak detaylı DNS sorguları ile kuruma ait ip adresleri ve servisler tespi edilebilir ( DNS Sorgu tipleri A, MX, NS, PTR şeklinde gider ) . DNS UDP port 53 üzerinden sorgu mantığı ile çalışır. DIG veya NSLOOKUP araçları ile DNS sorguları yapılabilmektedir. NSLOOKUP Windows, DIG ise Linux ortaamında çalışır. DIG NSLOOKUP ‘dan daha gelişmiş özelliklere sahiptir.

DNS VERSİYON BİLGİSİ: DNS versiyon bilgilsi çok önemli bir kavramdır, zira DNS sunucusu üzerinde olabilecek bir zaafiyetle, DNS kayıtları manipüle edilebilir veya Dns sunucusu servis dışı bırakılabilir. DIG, NMAP ve NETCAT aracı ile DNS sunucusunun versiyon bilgisi alınabilir.

ALT ALAN ADLARINI KEŞFETME: Pasif bilgi toplama kısmında bazı web sayfaları üzerinden nasıl alt alan adlarının keşfedileceğini belirtmiştik. Aynı şekilde aktif bilgi toplama tarafında da bezer işi yapan araçlar vardır. Kaba kuvvet (Bruteforce) mantığı ile DNS sunucusuna gönderilen istekler ile alt alan adları keşfedilir. Linux ortamında çalışan HOST, DNSENUM, DNS-BRUTEFORCE ve DNSMAP vb araçlar kullanılabilir. Bu araçlar güçlü bir sözlük dosyası ile çok anlamlı sonuçlar verecebilir.

WHOIS BİLGİSİ: Aktif bilgi toplama araçları ile pasif bilgi toplamada kullanılan benzer tekniklerle Whois bilgisi elde edilebilir. Whois bilgilisi Linux ortamında çalışan Whois, Dmity gibi araçlarla  tespit edilebilir. Örneğin Dmitry ,yapılan sorgu sonucunda Whois bilgisi içinde bulunan kişi, telefon, mail,fax ve adres gibi önemli bilgileri listeleyecektir.

DNS ZONE TRANSFERİ: DNS sunucusu üzerinde Zone kavramı ismi çözülmeye çalışılan alan adı anlamına gelir. Bu alan adı altında A, NS, MX, PTR vs. şeklinde birçok DNS kayıdı olabilir. Bu kayıtların birincil DNS sunucus üzerinden başka DNS sunucuları üzerine aktarılmasına DNS Zone Transferi denir. Eğer birincil(Master) DNS sunucusu üzerinden Zone Trasnferine izin verilmiş ise çeşitli araçlar yardımı ile o Zone ‘a ait tüm kayıtlar kolaylıkla alınabilir. Alınan kayıtlar ile kuruma ait host isimleri bulunarak o hostlara ait güvenlik zafiyetleri araştırılır. Bir DNS sunucusu üzerinden Zone Transferi yapmak için Linux oramında çalışan HOST, DNSENUM veya Windows ortamında çalışan NSLOOKUP araçları  kullanılabilir.

DNS ENUMARATION: Kaba kuvvet teknikleri  ile alt domainlerin keşfedilmesi şeklide tanımlanabilir. Basitçe DNS Enumaration tekniğinde kullanılan sözlükte şu kelimeler bulunur.

ftp
mail
ssh
ftp
portal
login
test
gibi sözcükler ftp.xyz.com, ssh.xyz.com şeklinde tek tek denenerek alt alan adları tespi edilir. Bu işlemde iki amaç vardır,bilinmeyen alt alan adlarını bulmak ve olası açık bırakılan test sistemlerini keşfetmektir; bazen sistem yöneticileri bir servisi veya sistemi test etmek için geçici olarak servisleri veya sistemleri internete açarlar, açılan sisteme erişimde basit bir parola kullanılmış ise, test sistemleri üzerinden kuruma saldırı ve sızma olabilir. Günümüzde bu tip saldırılar Çin ‘de artarak gelmektedir, saldırı tipi ise SSH Bruteforce ‘dur. DNS Enumaration için linux oramında çalışan DNSENUM aracı kullanılabilir.

SMTP : SMTP Internet dünyasının vazgeçilmez iletişim aracı olan e-posta ‘nın dayandığı protokoldür. E-posta ile aktif bilgi toplarken hedef sistemde bir e-posta sunucusu olduğu varsaylır, sistemde olan veya olmayan bir kullanıcıya bir e-posta gönderilir, olmayan kullanıcı için e-posta sunucusudan bir e-posta dönecektir,gelen e-posta detaylı bir şekilde incelendiğinde; e-posta sunucusunun platformu, zaman bilgisi, e-posta bize ulaşana kadar geçtiği ip noktaları, mail sunucusun ip adresi(yerel ağ bilgileri) gibi bilgiler elde edilebilir.

Not: SMTP üzerinden bilgi toplama ile igligili ileride daha detaylı bir yazı hazırlayacağız.

SMTP RELAY Kontrolü: SMTP Relay kavramına kısaca değinecek olursak, uzaktan bir e-posta sunucusu üzerinden kimlik doğrulama olmadan o domain dışında başka domain uzanltılı e-posta gönderilebilmesine SMTP Relay denmektedir. Güvenlik açısından SMTP Relay ‘in internete kapalı olması gerekmektedir, zira SMTP Relay ‘i açık bir sistem üzerinden herhangi bir kişi istediği yere e-posta gönderip spam e-posta trafiği yapıp sunucuyucunun gerçek ip adreslerini kara listelere düşürebilir veya DoS atak yapabilir. SMTP Relay kontrolü için Linux ortamında çalışan RelayScanner aracı kullanılabilir.

Bir Alan Adına ait E-Posta Adreslerinin Keşfedilmesi: Bir kuruma ait e-posta adreslerinin internet ortamında keşefilebilmesinin bir çok riski bulunmaktadır; risklere bakacak olursak:

- Spam mail yapan kötü niyetli kişiler internet üzerinde hedef alan adına ait e-posta adreslerini toplayıp, istenmeyen ve zararlı içerik barındıran maillerin kuruma gelmesi ve kullanıcıların phishing saldırıları ile her çeşit dolandırıcılıkla ve bilgi hırzılığı ile karşı karşıya kalmaları.

- Keşfedilen e-posta adresleri ile kullanıcı bilgileri kullanılarak sözlük listesi oluşturulamakta ve bu sözlük listesi daha sonraki sızma girişimlerinde kullanılmaktadır. Örneğin joe.hacker@hacked.net diye bir kurumsal e-posta adresi bulundu. Burdan yola çıkılarak aşağıdaki gibi bir sözlük dosyası hazırlayabiliriz.

joe, jhacker , joeh, joehacker, joe.hacker

Daha sonra bu bilgi ile kuruma ait dışarıya açık kullanıcı adı ve parola  soran tüm servislere kaba kuvvet yöntemi ile girilmeye çalışılır.

Kuruma ait internet ortamında bulunan e-posta adreslerinin toplanması için Linux ortamında çalışan Goog-mail veya Windows ortamında çalışan Power Email Collector gibi araçları kullanılabilir.

Bu tip problemler ile karşılaşılmaması için alınması gereken başlıca önlemler:

- Herkese açık olan tartışma forumları veya sosyal ağlarda kurum e-posta adreslerinin kullanılmaması.
- Kurum web sayfasında e-posta adresleri yazı ile yazılacak ise (bilgi at xyz.com) veya resim şeklide ifade edilmelidir.

TRACEROUTE: Gönderilen bir paketin hedef sisteme ulaşıncaya kadar geçen süreyi ve hangi hostlar(atlama noktaları) üzerinden geçtiğini tespit etmek için kullanılır. Traceroute ICMP protokolünü kullanır. Basitçe çalışma mantığı hedef sisteme ulaşıncaya kadar paketin TTL değerinin arttırılmasına dayanır. İlk gönderilen paketin TTL değeri “1″ dir, her atlama noktasında yönlendiriciler paketin TTL değerini bir azaltır, istemciden çıkan paketin TTL değeri “0″ olur. Paketi ilk alan yönlendirici paketin TTL değeri “0″ olduğu için bir sonraki yönlendiriciye iletemez ve ICMP zaman aşımı mesajı döner ve böylelikle ilk yönlendiricinin ip adresi tespit edilmiş olur. İstemci bu sefer paketin TTL değerini “2″ yapar ve ikinci yönlendiriciyi keşfeder. Bu işlem hedef sisteme ulaşıncaya kadar bu şekilde gider. Traceroute ile hedef sistemin ip adresi, hedef sistem ulaşılırken peketin geçtiği atlama noktaları, hedef sistem önünde bulunan güvenlik cihazı ve çalışma tipi ( Nat ? ) tespit edilebilir. Windows ortamında çalışan Tracert veya Linux ortamında çalışan Traceroute aracı kullanılarak yukarıda bahsedilen bilgi toplama işlemi gerçekleşitirilebilir.

TCPTRACEROUTE: Traceroute ICMP protokolünü kullandığını yukarıda belirttik, peki hedef sistemin önünde duran güvenlik duvarında ICMP kapalı ise? Bu demektir ki tracroute ‘tan herhangi bir sonuç elde edilemeyecektir. ICMP ‘nin işlevsiz kaldığı bu durumda TCPTRACROUTE kullanarak port tabanlı trace işlemi gerçekleştirilebilir. Örnek www.xyz.com’ un sadece 80 ve 443 nolu portları internete açık yani ICMP kapalı . Bu durumda açık portlara doğru gönderilen TCP paketleri ile hedef sisteme doğru traceroute işlemi yapmış oluruz. Port bazlı Trace işlemini gerçekleştirmek için Linux ortamında çalışan TCPTRACROUTE aracı kullanılabilir. Tcptracorute ile aynı zamanda hedef sistem internete NAT yapılarak mı veya direkt olarak mı çıkıp çıkmadığı da tespit edilebilir.

BANNER YAKALAMA: Banner yakalama kavramı kısaca hedef sistem hakkında versiyon, platform bilgisi almaktır. Hedef sistemin açık olan portuna bağlantı isteği gönderilir ve sistem istek sonucu bir takım değerler döner. Dönen değer içinde sistem platform bilgisi, versiyon bilgisi veya daha farklı bilgiler olabilir (hostname gibi). Banner yakalamak için bir çok araç kullanılabilir bunların başında linux ortamında çalışan NETCAT, Telnet veya Nmap kullanılabilir. Örnek verecek olursak;

[root@gdanismani] nc www.xyz.com 80

—————————————————————————————————-

HEAD / HTTP/0.1

HTTP/1.1 200 OK
Date: Mon, 11 May 2009 22:10:40 EST
Server: Apache/2.0.46 (Unix) (Red Hat/Linux)
Last-Modified: Thu, 16 Apr 2009 11:20:14 PST
ETag: “1986-69b-123a4bc6″
Accept-Ranges: bytes
Content-Length: 1110
Connection: close
Content-Type: text/html

—————————————————————————————————-

Yukarıdaki örnekte görüldüğü gibi Netcat ile TCP 80 portu üzerinden bağlatı isteği gitti ve sunucu gelen istek üzerine zaman, işletim sistemi ve web platform bilgilerini versiyonları ile beraber döndü. Kötü niyetli birisi aldığı banner bilgisini kullanarak çalışan sistemin platform versiyon bilgileri hakkında zaafiyet araştırması yapar ve o versiyona ait bir zaafiyet varsa kullanıp sisteme sızmaya çalışır.

MALTEGO:
Günümüzün en gelişmiş aktif ve pasif bilgi toplama araçlarındandır. Maltego topladığı bilgileri birbiri ile ilişkilendirip görsel bir şekilde sunabilmektedir. Maltego ile aşağıdaki bilgi tipleri toplanabilir:

- Alan adları
- Whois bilgisi sorgulama
- Ip adresi veya bir ağın tespiti
- Gelişmiş kişi arama özelliği
- E-posta adresi toplama ve kişiler ile ilişkilendirme
- Web sayfaları ile kişileri ilişkilendirme
- Telefon, fax numaraları ile kişileri ilişkilendirme
- Sosyal paylaşım ağları ile kişileri ilişkilendirme

Kısaca belittiğimiz yukarıdaki bilgileri Maltego toplayıp ve birbiri ile ilişkilendirip görsel bir diyargram çıkarmaktadır. Maltego Linux ve Windows ortamında çalışabilmektedir.

Bilgi Güvenliği AKADEMİSİ özgür güvenlik yazılımlarına destek vermeye devam ediyor. bu amaçla Internet dünyasının en çok tercih edilen güvenlik duvarı yazılımlarından PfSense’in kurumsal iş ortamlarında etkin kullanımını amaçlayan iki günlük hızlandırılmış bir eğitim programı hazırladık(“PfSense güvenlik Duvarı Eğitimi”).

Eğitim içeriği ve detaylarına  http://www.bga.com.tr/?page_id=1651 adresinden erişilebilir. Bu konudaki ilk eğitim 2011 yılında gerçekleştirilecektir.

Bir sunucunun genele açık hizmet(recursive DNS çözücü) verip vermediğini anlamanın en kolay yolu o DNS sunucusu üzerinden google.com, yahoo.com gibi o DNS sunucuda tutulmayan alan adlarını sorgulamaktır.

Eğer hedef DNS sunucu genele açık bir DNS sunucu olarak yapılandırıldıysa aşağıdakine benzer çıktı verecektir.

~# dig www.google.com @91.93.119.70

; <<>> DiG 9.5.0-P2.1 <<>> www.google.com @91.93.119.70
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26294
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com. IN A

;; ANSWER SECTION:
www.google.com. 44481 IN CNAME www.l.google.com.
www.l.google.com. 118 IN A 66.102.13.147
www.l.google.com. 118 IN A 66.102.13.99
www.l.google.com. 118 IN A 66.102.13.105
www.l.google.com. 118 IN A 66.102.13.103
www.l.google.com. 118 IN A 66.102.13.104
www.l.google.com. 118 IN A 66.102.13.106

;; Query time: 16 msec
;; SERVER: 91.93.119.70#53(91.93.119.70)
;; WHEN: Sat Jul 24 13:23:59 2010
;; MSG SIZE rcvd: 148

Eğer DNS sunucu genele açık hizmet verecek şekilde yapılandırılmadıysa aşağıdakine benzer çıktı verecektir.

[root@seclabs ~]# dig @ns1.gezginler.net www.google.com

; <<>> DiG 9.6.1-P1 <<>> @ns1.gezginler.net www.google.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33451

;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0

;; WARNING: recursion requested but not available

;; QUESTION SECTION:

;www.google.com.                        IN      A

;; AUTHORITY SECTION:

.                       518400  IN      NS      H.ROOT-SERVERS.NET.

.                       518400  IN      NS      I.ROOT-SERVERS.NET.

.                       518400  IN      NS      J.ROOT-SERVERS.NET.

.                       518400  IN      NS      K.ROOT-SERVERS.NET.

.                       518400  IN      NS      L.ROOT-SERVERS.NET.

.                       518400  IN      NS      M.ROOT-SERVERS.NET.

.                       518400  IN      NS      A.ROOT-SERVERS.NET.

.                       518400  IN      NS      B.ROOT-SERVERS.NET.

.                       518400  IN      NS      C.ROOT-SERVERS.NET.

.                       518400  IN      NS      D.ROOT-SERVERS.NET.

.                       518400  IN      NS      E.ROOT-SERVERS.NET.

.                       518400  IN      NS      F.ROOT-SERVERS.NET.

.                       518400  IN      NS      G.ROOT-SERVERS.NET.

;; Query time: 140 msec

;; SERVER: 208.43.98.30#53(208.43.98.30)

;; WHEN: Sat Aug  7 16:18:15 2010

;; MSG SIZE  rcvd: 243

Bir IP aralığındaki tüm public DNS sunucuları bulmak için Nmap (Nmap Scripting Engine) kullanılabilir.

root@seclabs:~# nmap -PN -n -sU -p 53 –script=dns-recursion.nse 91.93.119.65/28

Starting Nmap 5.00 ( http://nmap.org ) at 2010-07-24 13:19 EDT
Interesting ports on 91.93.119.64:
PORT STATE SERVICE
53/udp open|filtered domain

Interesting ports on 91.93.119.65:
PORT STATE SERVICE
53/udp open|filtered domain

Interesting ports on 91.93.119.66:
PORT STATE SERVICE
53/udp open|filtered domain

Interesting ports on 91.93.119.67:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.68:
PORT STATE SERVICE
53/udp open|filtered domain

Interesting ports on 91.93.119.69:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.70:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.71:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.72:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.73:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.74:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.75:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.76:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.77:
PORT STATE SERVICE
53/udp open|filtered domain

Interesting ports on 91.93.119.78:
PORT STATE SERVICE
53/udp open|filtered domain
|_ dns-recursion: Recursion appears to be enabled

Interesting ports on 91.93.119.79:
PORT STATE SERVICE
53/udp open|filtered domain

Nmap done: 16 IP addresses (16 hosts up) scanned in 34.65 seconds

Public DNS sunucular neden güvenlik açısından risklidir?

DNS sunucu olarak ISC BIND kullanıyorsanız aşağıdaki tanımla recursive dns sorgularına yanıt vermeyi engelleyebilirsiniz.

Penetrasyon testlerinde bir kuruma ait ne kadar bilgi toplayabiliyorsak ( kullanıcı isimleri,email adresleri,işletim sistemleri vb gibi ) testin o kadar verimli geçeceği konusunu önemle vurgulamıştık. Bilgi toplama adımlarından birisi de o kuruma ait internette bulunan dokümanların analiz edilip uygun verilerin elde edilmesidir. Bu tip bir bilgiyi sağlayabilecek araçlardan biri de FOCA ‘dır. Google, Bing gibi arama motorlarında kuruma ait yayınlanmış dökümanları indirerek bu dökümanlardaki bilgileri bize sunmaktadır. Foca aracı ücretsiz bir uygulamadır, Windows ortamında çalışır ve  kullanımı oldukça basittir.

Görüldüğü gibi sağ üstte hangi arama moturunu kullanacağımızı seçerek search kısmına site ismi ve doküman tipini belirtiyoruz. Daha sonra search butonuna basıp bulunanan dökümanları download ediyor “extract metadata” deyip içlerinden verinin ayıklanmasını sağlıyoruz. Örnek olarak microsoft.com‘a ait word dokümanlarını arattığımızda aşağıdaki gibi bilgiler elde etmiş olduk.

Bu aracın  http://www.informatica64.com/FOCA/ adresinde online versiyonu bulunmaktadır.Detaylı bilgi için http://cafemigao.com/index.php?option=com_content&view=article&id=1265:new-foca-free-25-published&catid=368:t00ls&Itemid=70

Peki bu tip aramalara karşı neler yapabiliriz? Kurumunuza ait bu tip bilgi sızdırma tehditi ile karşı karşıya kalmamak için halka açık tüm dokümanlarınızı ( public documents ) temizlemenizi öneririz. Bunları yapmak için http://www.microsoft.com/downloads/details.aspx?FamilyID=144e54ed-d43e-42ca-bc7b-5446d34e5360&displaylang=en adresinden rhdtool.exe ile dokümanlarınızdaki gizli bilgileri temizleyebilirsiniz veya http://oometaextractor.codeplex.com/ adresinden openoffice dokümanları için metadata temizleme aracını kullanabilirsiniz. Ayrıca Google’un önbelleğe aldığı sayfaları kaldırmasını talep edip edebilirsiniz.

İçeriği ve eğitmenleri Türkiye’de bu konuda uzun yıllardır çalışmış tanıdık bir ekip.

Eğitim detaylarına http://www.bga.com.tr/?page_id=1637 adresinden erişilebilir. Malware Analiz konulu ilk eğitim Aralık 2010 tarihinde açılacaktır.

Bilgi güvenliği AKADEMİSİ tarafından hazırlanan DDoS saldırıları ve korunma yolları/analizi konularını kapsayan 23 soruluk değerlendirme sınavı http://www.bga.com.tr/?p=1619 adresinden yayına girmiştir.

Konuya meraklı okuyucularımızın teste katılıp bu konudaki bilgilerini sınayabilirler.

Bunun temel sebebi günümüzde -istisna sayılacak bir iki sertifikasyon programı hariç-  sertifikaların belirli bir bilgi birikim sonrası bu birikimi ispat etme amaçlı belgeler yerine çalışılarak alınacak birer kağıt parçası konumuna düşmüş olmasıdır.

Amaç sertifika almak olunca içerik çok da önemli olmayabiliyor, amaç birşeyleri detaylı öğrenmek olunca sertifika  daha değerli oluyor.

BGA olarak siz değerli okuyucularımızın kariyer planlarında sertifikasyonun önemini merak etmekteyiz.

Bu amaçla  www.bga.com.tr adresinde bir anket açmış bulunmaktayız. Anket sonuçlarına göre Bilgi Güvenliği AKADEMİSİ eğitimleri içerisine bize gelen sertifikalı eğitim taleplerini de eklemeyi planlıyoruz.

Bilgi Güvenliği AKADEMİSİ tarafından verilen bazı eğitimlere nadir de olsa yurtdışından  talepler geliyordu(sanırım Google translator kullanarak içeriği inceliyorlar). BGA’nın hedeflerinde yurtdışına eğitim verme planı olmadığı için çok önemsememiştik fakat konusunda dünyada ilk olan (ürün bağımsız) “DDoS Saldırı ve Korunma Yolları Eğitimi” ne gelen taleplerin sayısı artınca neden bu konuda yurt dışına eğitim vermiyoruz fikri ortaya çıktı ve hemen arkadaşlarla kolları sıvadık…

Kısa bir çalışma sonrası ddostraining.com ve ddostrainings.com adreslerinden yayın yapan dünyanın ilk ürün bağımsız DDoS eğitimini ingilizce açmış olduk. Bu konudaki ilk eğitim Eylül ayında İstanbul’da gerçekleştirilecek.