~ Ali Kapucu | Network & System & Security Research Worker ~

Archive for 'System Security'

Screen Unlock Meterpreter Script

Posted on Şubat 25, 2010, under Security, System Security.

In this video, we look at a demo of the screen unlock meterpreter script. The script needs SYSTEM privileges and patches the msv1_0.dll loaded by lsass.exe so that every password will be accepted to unlock the screen. (the patch can also be undone to get back to normal behavior). Currently Windows XP SP2 and SP3 are supported. You can download it from here. The script author’s blog has more details.

Thanks go out to PaulDotCom for uploading this to vimeo.

Meterpreter Screensaver unlock script from PaulDotCom on Vimeo.

Lets run any command you want on every machine in your domain.

Posted on Şubat 23, 2010, under Security, System Security, Windows Servers.

After listening to Larry’s excellent technical segment on dumping the event logs from a large list of computers, I decided to try it out on my own. If you missed the technical segment, you can find the notes here. To do my own testing I needed to start with a large list of computers. For my list, I want to have the names of every computer in the domain. So I turned to “dsquery computer ” to get a list of all computers.
C:\WINDOWS> dsquery computer "CN=CONTROLER1,OU=Domain Controllers,DC=subdomain,DC=domain,DC=com"

BLA BLA BLA… Truncated

"CN=WORKSTATION1,OU=ORGUNIT1,OU=OrgUnit2,OU=OrgUnit3,DC=Subdomain, DC=Domain,DC=com"

BLA BLA BLA… Truncated again

The length of the results changes because of the variable number of subdomains, but fortunetly for us the workstation name is always the first part of the string. It is always between the CN= and the first comma. We can strip out the workstation name with the “DELIMS” and “TOKENS” option of the FOR loop. Also, by default DSQUERY will only return the first 100 results. This can be changed using the “-LIMIT” option. Setting the LIMIT to 0 returns all result. For now lets check our output looking at only two entries.

C:\WINDOWS>for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do echo %i


C:\WINDOWS>echo "CN=WORKSTATION1

"CN=WORKSTATION1

C:\WINDOWS>echo "CN=WORKSTATION2 "CN=WORKSTATION2

We are almost there. I need to strip the first 4 characters of the line. For this I stole a page or two from Ed Skoudis’ play book. We can strip the first four characters with the SET command using the expression variable = %variable:~4%. But, since we are in a FOR loop we have to turn on delayed variable expansion and use ! instead of %.

C:\WINDOWS>cmd.exe /v:on /c "for /F "delims=, tokens=1" %i in ('dsquery computer -limit 2') do set name=%i & set name=!name:~4! & echo !name!"
(daha fazla…)

FileZilla Ftp şifrelerimizin turşusunu kuruyor!!!

Posted on Ağustos 14, 2009, under System Security.

Merhaba Arkadaşlar bugün Friendfeed’de Ahmet Alp Balkan’ın blogunun zararlı site olmasının muhabbeti dönerken C:\Documents and Settings\XXX\Application Data\FileZilla\sitemanager.xml veya filezilla.xml dosyalarınızı bakmanızı öneririm :S ftp şifrelerimiz ne kadar açıkta görmüş oluyoruz malesef..

BIND Dinamik Güncelleme Hizmet Dışı Bırakma Açıklığı Üzerine

Posted on Ağustos 11, 2009, under System Security.

BIND yazılımının geliştiricisi olan Internet Systems Consortium, 28 Temmuz 2009 tarihinde BIND çalıştıran alan adı sunucularını etkileyebilecek bir açıklığı bildirmiş, bu açıklık CVE-2009-0696 kodlu açıklık duyurusuyla geniş kitlelere ulaştırılmıştır. Bu yazıda, açıklığın doğası, gerçekleştirme şekli ve alınabilecek önlemlere değinilecektir.

Dinamik güncelleme mekanizması, alan adı sunucularının kaydını tuttukları alanların uzaktan güncellenmeleri için kullanılan bir mekanizmadır. Yetkili istemciler, bu mekanizma sayesinde sunucudaki alan bilgilerini güncelleyebilirler. Açıklık, bu mekanizmayı kullanmakta, özel düzenlenmiş bir dinamik güncelleme istek paketinin sunucuya yollanması sonucunda sunucu sürecinin sonlanmasına yol açmaktadır.

Bu açıklıkta kullanılan özel düzenlenmiş paketin, açıklığı gerçekleştirebilmesi için iki özelliğe ihtiyacı vardır. Birincisi, oluşturulan isteğin alan adı sunucusunun yetkili (authoritative) olduğu bir alanın güncellenmesine yönelik olması; ikincisi, güncellemedeki kayıt tipinin ANY olması gerekmektedir. İlk özellik aynı zamanda sunucunun alan adı için birincil alan sunucusu olmasını gerektirdiğinden, ikincil alan adı sunucuları görünüşe göre etkilenmemektedir.
(daha fazla…)

Dns’lerimize Dikkat Edelim!!!

Posted on Temmuz 8, 2009, under System Security.

Bildiğiniz gibi internet üzerinde alan adlarıyla dolaşıyoruz. Bu bloğa girmek için www.alikapucu.com adresini browserınızda yazdığınız da browser internet üzerinde buluna DNS (Domain Name Server) serverlerına bu ismi sorar isme denk gelen ip adresi dns server tarafında verilir ve browserımız o siteye gider. Örnek Olarak DNS serverımıza bir isim soralım Windows’da bu işlemi yapan komut nslookup komutudur. Başlat / Çalıştır /cmd yazdıktan açılan komut satırına nslookup domain yazarak aşağıdaki gibi bir çıktı alırız ;
C:\Documents and Settings\Alyy>nslookup Varsayılan Sunucu: resolver1.opendns.com Address: 208.67.222.222

> www.alikapucu.com Sunucu: resolver1.opendns.com Address: 208.67.222.222

G_venilir olmayan yan_t: Ad: www.alikapucu.com Address: 79.171.18.126

bu çıktı da www.alikapucu.com adresini 208.67.222.222 Open Dns serverlarına soruldu ve karşılık 79.171.18.126 ipsi karşılık geldi demekki alikapucu.com adresi bu ip de host ediliyormuş. Aynı işlemi Linux de dig komutu ile yapıyoruz, dig komutu çok gelişmiş bir komut umut ediyorum ki ileride nslookup’ın yerini alsın

root@bt:~# dig www.alikapucu.com

; <<>> DiG 9.5.0-P2 <<>> www.alikapucu.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 454
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.alikapucu.com. IN A

;; ANSWER SECTION:
www.alikapucu.com. 11724 IN A 79.171.18.126

;; Query time: 1 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Wed Jul 8 04:33:33 2009
;; MSG SIZE rcvd: 51

burada da dig www.alikapucu.com dedim ve yukarıdaki çıktı geldi bu çıktıdan anladığımız Networkümde bulunan 192.168.0.6 dns serverına 53.porttan sorulan sorgu yine 79.171.18.126 ip yi verdi.

Ipv6 çıkması ile birlikte DNS ler artık olmazsa olmaz bir hal alıcak. Örneğin Ipv4 adresi 79.171.18.126 olan www.alikapucu.com adının ip adresi (Ipv6) 2001:0050:0000:0000:0000:9AC2:0FA0:8701 tarzında bişi olucak durum böyle olunca dns serverlar hayatımızda çok önemli olucak (şuan da önemli ama çok daha fazla önemli olucak) dolayısıyla Dns serverlarımızın güvenliğini iyi sağlamamız lazım.
Peki Dns Server Nasıl tehlikeli olabilir??
Geçen sene DNS Cache Poising çıktı bu saldırı ile dns serverlarının cacheleri zehirlenerek belirtilen domainler için farklı ip adresleri yazılabiliyordu. Bununla ilgili bir videoyu link veriyorum. http://securitytube.net/DNS-Cache-Poisoning-Attack-
video.aspx

Aynı şekilde domaine ait kayıtları değiştirerek başka bir konuya değinelim. Adsl Kullanıcıların %60 ının Default şifrelerini değiştirilmediği biliniyor. Google’dan basit bir arama ile bu şifrelere ulaşabiliriz. Bir modeme eriştiğimiz eğer ki o modem destekliyorsa (büyük bir çoğunluğu destekliyor) manuel bir dns server adresi yazarak o modem’in bütün sorgularını istediğimiz dns sunucusuna aktarabiliriz..

Peki Dns server kurmak zor bir şey mi? Cevabı; Hiç de zor değil ben network’umde kullandığım DNS Serverı internete açarsam ve istediğim domainler için kayıtlar girersem benim serverımı kullananlar benim yönlendirdiğim adreslere giderler gidilen adresin bir banka sitesi olduğunu düşünürsek durumun ciddiyeti anlaşılabilir.

Bu işi otomasyona döken DNSChanger adlı Trojan Hakkında Onur Oktay’ın yazdığı yazıyı sizlere sunuyorum..

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan düşünürsek, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin varsayılan güvenlik ayarlarını, varsayılan şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Onun adı DNSChanger… 2005 yılında ortaya çıktı, milyonlarca bilgisayara, binlerce ağ(network)’a bulaştı… Verdiği zararlar çok sonraları tespit edilebildi.

Neredeyse çoğu kullanıcı onun, kendi bilgisayar sisteminde var olduğunu bile anlayamadı. Çünkü güncel ve bilinen güvenlik yazılımları ile antivirüs programları DNSChanger’ı tespit edemedi. Klasik zararlı yazılımlar gibi sadece Windows kullanıcılarına değil, MAC kullanıcılarına da bulaşarak kendi alanında efsane olmayı başardı.

İşte o efsane trojan (Zararlı yazılım) şimdi yenilenen ve güçlenen zararlı içeriği ile karşımıza tekrar çıktı.

DNSChanger ne yapıyor? Nasıl böyle bir zarar verebiliyor? Çalışma mantığı nedir?

DnsChanger sadece tekil bilgisayarlara değil, Ağa bağlı çalışan bilgisayarlara ve Ağ ortamlarına (Network) da zarar veriyor. Yeni versiyonda karşımıza daha da kötü ve acımasız olarak çıkan DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o bilgisayarların Ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.

Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web sitelerinin bire-bire kopyası (fake web sayfası) ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş oluyorlar.

Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Eğer profesyonel bir Bilgisayar kullanıcısı değilseniz yani sıradan bir kullanıcı iseniz, bahsi geçen DNS kayıtlarına bakmak tabii ki aklınıza gelmeyecektir.

Böylece bu sahte DNS’leri kullanarak mı yoksa gerçekten kendi İnternet Servis Sağlayıcınızın atadığı DNS kayıt numarası ile internete eriştiğinizi tabii ki bilemeyeceksiniz.

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan bakarsak, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin kurulum güvenlik ayarlarını, kurulum şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Çoğu kullanıcı, ADSL modem şifrelerini değiştirmeden, kurulumdaki olarak kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.

Yazının başında da belirttiğim gibi DnsChanger sadece Windows kullanıcılarını değil, MAC kullanıcılarını da etkileyerek kendi alanında farklılık yaratıyor ve bu’da trojanın ne kadar ciddiye alınması gerektiğini bir kere daha gösteriyor.

Peki DNSChanger’dan nasıl korunacağız ?

Şu an aktif olarak yayılmaya devam eden zararlıyı maalesef ki bir çok güncel güvenlik programı engelleyememektedir. Bunun için sistemizi Anti-Malware yazılımları ile taratmalıyız. Bu temizlik işlemini gayet başarılı yapan bir programı tavsiye ediyorum. RapidShare adresinden ilgili programı indirerek sisteminizi taratabilir ve temizleyebilir yada sistemizin güvenliğinden emin olabilirsiniz.

Dns'lerimize Dikkat Edelim!!!

Posted on Temmuz 8, 2009, under System Security.

> www.alikapucu.com Sunucu: resolver1.opendns.com Address: 208.67.222.222

G_venilir olmayan yan_t: Ad: www.alikapucu.com Address: 79.171.18.126

root@bt:~# dig www.alikapucu.com

;; QUESTION SECTION:
;www.alikapucu.com. IN A

;; ANSWER SECTION:
www.alikapucu.com. 11724 IN A 79.171.18.126

;; Query time: 1 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Wed Jul 8 04:33:33 2009
;; MSG SIZE rcvd: 51

Bu işi otomasyona döken DNSChanger adlı Trojan Hakkında Onur Oktay’ın yazdığı yazıyı sizlere sunuyorum..

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan düşünürsek, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin varsayılan güvenlik ayarlarını, varsayılan şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Onun adı DNSChanger… 2005 yılında ortaya çıktı, milyonlarca bilgisayara, binlerce ağ(network)’a bulaştı… Verdiği zararlar çok sonraları tespit edilebildi.

Neredeyse çoğu kullanıcı onun, kendi bilgisayar sisteminde var olduğunu bile anlayamadı. Çünkü güncel ve bilinen güvenlik yazılımları ile antivirüs programları DNSChanger’ı tespit edemedi. Klasik zararlı yazılımlar gibi sadece Windows kullanıcılarına değil, MAC kullanıcılarına da bulaşarak kendi alanında efsane olmayı başardı.

İşte o efsane trojan (Zararlı yazılım) şimdi yenilenen ve güçlenen zararlı içeriği ile karşımıza tekrar çıktı.

DNSChanger ne yapıyor? Nasıl böyle bir zarar verebiliyor? Çalışma mantığı nedir?

DnsChanger sadece tekil bilgisayarlara değil, Ağa bağlı çalışan bilgisayarlara ve Ağ ortamlarına (Network) da zarar veriyor. Yeni versiyonda karşımıza daha da kötü ve acımasız olarak çıkan DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o bilgisayarların Ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.

Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web sitelerinin bire-bire kopyası (fake web sayfası) ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş oluyorlar.

Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Eğer profesyonel bir Bilgisayar kullanıcısı değilseniz yani sıradan bir kullanıcı iseniz, bahsi geçen DNS kayıtlarına bakmak tabii ki aklınıza gelmeyecektir.

Böylece bu sahte DNS’leri kullanarak mı yoksa gerçekten kendi İnternet Servis Sağlayıcınızın atadığı DNS kayıt numarası ile internete eriştiğinizi tabii ki bilemeyeceksiniz.

DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan bakarsak, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin kurulum güvenlik ayarlarını, kurulum şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.

Çoğu kullanıcı, ADSL modem şifrelerini değiştirmeden, kurulumdaki olarak kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.

Yazının başında da belirttiğim gibi DnsChanger sadece Windows kullanıcılarını değil, MAC kullanıcılarını da etkileyerek kendi alanında farklılık yaratıyor ve bu’da trojanın ne kadar ciddiye alınması gerektiğini bir kere daha gösteriyor.

Peki DNSChanger’dan nasıl korunacağız ?

Şu an aktif olarak yayılmaya devam eden zararlıyı maalesef ki bir çok güncel güvenlik programı engelleyememektedir. Bunun için sistemizi Anti-Malware yazılımları ile taratmalıyız. Bu temizlik işlemini gayet başarılı yapan bir programı tavsiye ediyorum. RapidShare adresinden ilgili programı indirerek sisteminizi taratabilir ve temizleyebilir yada sistemizin güvenliğinden emin olabilirsiniz.

Sql User Kullanıcı Şifrelerine Ulaşmak

Posted on Haziran 6, 2009, under System Security.

’sa’ kullanıcısı SSE içinde özel tanımlanmış bir kullanıcı hesabıdır ve sistem yöneticisi (sysadmin) haklarına sahiptir. ’sa’ kullanıcısı ile login olduğunuzda, sysadmin grubu haklarının hepsine otomatik olarak sahip olmuş olursunuz ve sistem üzerinde kritik işlemleri yapabilirsiniz.

SQL Server Şifreleri Nasıl Saklar?
SQL Server şifreleri saklamak için pwdencrypt() fonksiyonunu kullanır. İlgili şifre bir hash değerine atanarak saklanır.

SELECT PWDENCRYPT(‘ali) as HASH
0×0100FD41EBE4BEF474B93D27F57E536099E9D46EFCF13EB5DEA2

Şifre dört bölümden oluşmakta, bazı kısımlar static bazı kısımları ise o an itibariyle sistem üzerinden aldığı bilgilere göre dinamik olarak oluşturulmaktadır.

SQL Server üzerinde şifrelerin nasıl saklandığı, şifre yapısının ne gibi birimlerden oluştuğu ve doküman içerisindeki exploit ile nasıl kırılabileceği bu makalede anlatılmaktadır.

Retrieve SQL Server Passwords
Bu GUI ile ele geçirdiğiniz SQL Server hash’lerini brute-force attack yöntemiyle kırmanız mümkündür.
(daha fazla…)

Trafik dinleme, analiz ve değiştirme yazılımları

Posted on Mayıs 17, 2009, under Network Security, Security, System Security.

Ethereal : Ethereal, açık kaynak kodlu bir Trafik analiz programıdır. Gelişmiş grafik arabirimi sayesinde kullanımı oldukça kolaydır. Bunun yanında istenirse komut satırından da kullanılabilir. Komut satırından kullanım için ethereal komutu ve ek parametreleri kullanılabilir.

Windows, UNIX(BSD, Solaris, vb) ve Linux işletim sistemleri üzerinde GPL lisansı ile özgürce kullanılabilmektedir. Ethereal, açık kod dünyasının desteğini arkasına alarak kısa sürede piyasadaki ticari Trafik analiz programlarının işlevlerinin çoğunu yerine getirebilecek seviyeye ulaşmıştır.

Ethereal’in bazı önemli özellikleri:

• Yakalanan paketleri kaydedebilme , kaydedilen paketleri analiz edebilme

tcpdump , NAI’s Sniffer^TM , Sniffer^TM Pro , NetXray^TM, Sun snop ve atmsnoop, Shomiti/Finisar Surveyor vb gibi birçok paket analiz programları ile yakalanmış ve kaydedilmiş paketleri analiz edebilme
Paketleri tethereal yada bir gui aracılığı ile izleyebilme
3COMXNS, 3GPP2 A11, 802.11 MGT, 802.11 Radiotap, 802.3 Slow protocols, 9P, AAL1, AAL3/4, AARP, ACAP, ACN, ACSE, ACtrace, ADP, AFP, AFS (RX), AH, AIM, AIM Administration, AIM Advertisements, AIM BOS, AIM Buddylist, AIM Chat, AIM ChatNav, AIM Directory, AIM Email, AIM Generic, AIM ICQ, AIM Invitation, AIM Location, AIM Messaging, AIM OFT, AIM Popup, AIM SSI, AIM SST, AIM Signon, AIM Stats, AIM Translate vs .. 706 protokol desteği
Yakalanan paketler düz yazı yada PostScript olarak kaydedebilme
Filtreleme esnasında istenilen protokollerin istenilen renk de gösterilebilmesi

Ettercap : Ettercap çok özellikli bir trafik analiz ve trafik injection programıdır. Ettercap ile basit trafik dinleme işlemlerinden öte switch’li ağlarda birçok geçerli yöntem(apr spoofing, arp poisoning, mac address cloning) kullanarak trafik izleme , trafiğe yön verme işlemleri gerçeklenebilir. SSL bağlantılarında araya girerek sadece trafiği izlemekle yetinmeyip izlenilen trafiğin değiştirilmesini de sağlar(MITM). Ettecap kullanarak özellikle Layer2 üzerinde çalışan protokoller ve işleyiş yapıları iyice öğrenilebilir.

Desteklenen Platformlar:

Linux 2.4.x, Linux 2.6.x FreeBSD 4.x 5.x, OpenBSD 2.X 3.x, NetBSD 1.5 , Mac OS X (darwin 6.x 7.x), Windows 2000/XP/2003, Solaris 2.x Lisansı: GPL

Dsniff Dsniff Dug Song tarafından ağ güvenliği denetimi ve trafik dinleme amaçlı yazılmış bir programdır.

Dsniff’in oluşturan bazı programlar ve işlevleri ; Mailsnarf, urlsnarf, filesnarf, msgsnarf, webspy araçları ağ ortamında gezen zayıf parolaları ve çeşitli bilgileri okunabilir formatta sunmak için kullanılabilir. Mesela urlsnarf aracı kullanılarak akan trafik içerisinden 80, 3128 ve 8080 portlarını dinleyerek web trafiğine ait URL’leri Microsoft IIS ve Apache tarafından da kullanılan Common Log

Format (CLF) formatında kaydeder.

# urlsnarf -i xl0 urlsnarf: listening on xl0 [tcp port 80 or port 8080 or port 3128]

Bunların dışında kotu amaçlı ellerde oldukça tehlikeli olabilecek arpspoof, macof, dnsspoof gibi ileri düzey araçlara da sahiptir. Bu araçlarla sağlam korunmamış bir LAN içerisinde SSL, SSH, SSH ve DNS trafikleri yanıltılabilir.

Dsniff Windows işletim sistemi üzerinde de çalışır. http://www.datanerds.net/~mike/dsniff.html adresinden Dsniff’in Win32 sürümü edinilebilir. Cain Abel: Dsniff araçlar bütününü yaptığı herşeyi Windows ortamında GUI aracılığı ile yapabilme olanağı sağlar. http://naughty.monkey.org/~dugsong/dsniff/ adresinden Dsniff ile ilgili detay bilgi edinilebilir. http://www-128.ibm.com/developerworks/library/s-sniff.html

Snoop :Snoop solaris işletim sisteminde çalışan bir snifferdir. Snoop ile realtime trafik izleme yapılabileceği gibi trafiği snoop formatında kaydedip sonra inceleme amaçlı da kullanılabilir.

#Snoop -o dosya_ismi Kaydedilen dosya

#Snoop -i dosya_ismi ile incelenebilir.

Snoop ile mac adresine gore de trafik analizi yapılabilir.

#Snoop from 00:04:5b:f2:83:33 or to 02:06:5b:f2:87:41 Şeklinde bir komut ile belirli mac adresleri arasındaki trafigin yakalanması sağlanır.

Snoop üç modda çalışır, özet mod detay özet ve detay mod. Varsayılan mod özet moddur(summary) ve bu modda trafik 5,67 gibi üst katmanlar için yakalanır. -V ile çalıştırıldığında layer2Den layer 7′ye kadar özet bir şekilde sunar.

-v ile çalıştırıldığında yakalanan pakete ait tüm detaylar görülebilir.

!!Snoop herhangi bir özgür lisansa sahip değildir ve kaynak kodları açık değildir. Snoop’un Linux için çalışan versionları bulunmaktadır.

MySQL Sunucu ve İstemci Trafiğinin Şifrelenmesi

Posted on Nisan 21, 2009, under Security, System Security.

Aksi belirtilmedikçe MySQL sunucusu ile istemcisi arasındaki ağ trafiği açık metin olarak gerçekleştirilmektedir. Aslında bu sadece MySQL’e has bir özellik değil, sunucu istemci mimarisi ile çalışan bütün uygulamalar için geçerli bir durumdur. İstemci sunucu arasındaki ağ trafiğini gözlemlemek isteyen kişiler, sunucu istemci arasında açık metin olarak gerçekleştirilen ağ trafiğini dinlereyek hassas bilgilere erişim sağlayabilirler.

Aşağıda MySQL sunucusu ile istemcisi arasındaki ağ trafiğinin gözlemlenmesi halinde nelerin yapılabileceğini göstermek açısından, MySQL sunucu sistemi üzerinde tcpdump ve strings komutları kullanılarak gerçekleştirilen gözlemlenebilen SQL sorgu işlemleri gösterilmiştir.

# tcpdump -l -i eth0 -w - src or dst port 3306 | strings tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 5.0.45 wRuuj5g, LLBPALES show databases SCHEMATA Datab show tables TABLE_NAMES select @@version_comment @@version_com show databases SCHEMATA Datab

Görüldüğü gibi MySQL istemcisinden gerçekleştirilen SQL sorguları açık olarak görülmektedir. Aynı durum MySQL sunucusu ve istemcisi arasındaki trafiğin şifreli olarak iletildiğinde aşağıdaki gibi olmaktadır.

# tcpdump -l -i eth0 -w - src or dst port 3306 | strings tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes gLO %DgLOY gLOY lnp@ %HgLOY4 5.0.45 bA['P;xl gLO\ gLO_ 4nq@ %KgLO_ gLOo 4nr@

Yukarıda görüldüğü gibi MySQL sunucusu ve istemcisi arasındaki ağ trafiği şifreli bir biçimde gerçekleştirildiğinde, sorgular açık olarak görüntülenememektedir. (daha fazla…)

DjbDNS’te Güvenlik Açığı

Posted on Mart 15, 2009, under Security, System Security.

DjbDNS, D.J. Bernstein tarafından geliştirilmiş ve güvenlik garantisi verilmiş olan bir DNS sunucusudur. Güvenlik garantisi nedeniyle çok sayıda sistem yöneticisi tarafından tercih edilmekte ve kullanılmaktadır. Geçtiğimiz hafta DjbDNS’te 2 adet güvenlik açığı bulunduğu, açıkların DNSCache bileşeninden kaynaklandığı ve tampon bellek zehirlemesinin mümkün olduğu duyuruldu. Daha önce Kaminsky tarafından duyurulan zehirleme saldırısından DjbDNS yaklaşık 40-45 saat civarında bir süre sonunda etkileniyor iken yayınlanan güvenlik açığı ile bu süre 2-18 dk. aralığına kadar düşüyor. D.J. Bernstein ve Jeff King tarafından güvenlik açıklarını kapatmak üzere yamalar (1, 2) yayınlandı. D.J. Bernstein 1.000$’lık ödülünü de Matthew Dempsky’nin kazandığını duyurdu, (daha fazla…)