İnternet Güvenliği S2

Network’e gizlice bağlanan bir PC veya Laptop network üzerinde gidip, gelen data paketlerini izleyebilir, isterse bu bilgileri gizlice diskine kaydederek daha sonra analiz edebilir. Aynı tehdit firma içinde çalışmakta olan masum görünen bir eleman tarafından da kolaylıkla yapılabilir. Bu amaç için gereken bilgisayar programları kolaylıkla Internet üzerinde bulunan çeşitli sitelerden ücretsiz olarak temin edilebilir. Pasif Dinlemenin amacı firma içinde yapılan yazışma, haberleşme, mesajlar ve login password’lerini kolayca elde etmek içindir. Pasif dinlemenin tesbiti imkansıza yakındır. Pasif dinleyici sadece dinler, aradığı bilgileri elde etmeye çalışır ancak hiç bir mesaj göndermez.

Aktif dinleme yapan bir PC ise sadece mesajları dinlemekle kalmaz, kendisi de sisteme mesajlar göndermeye başlar. Bu mesajları öyle oluşturur ki, sistemdeki diğer unsurlar bu makinayı legal bir makina gibi görürler. Bu sayede aktif dinleyici yanıltıcı mesajlar göndermeye başlayabilir. Örneğin sahte e-mail’ler, talimatlar, havale, EFT bilgileri, v.s. Eğer sistem TELNET gibi bir protokol ile login yapılarak çalışıyorsa, önce pasif dinleme ile hedeflediği kullanıcıların password’lerini elde eder. Daha sonra uygun bir zamanda bu kullanıcılar gibi login yaparak, örneğin muhasebe programına girerek, istediği işlemleri yapabilir. Bunun sonucu olarak suçlanabilecek tek kişi password’ünü çaldığı kullanıcı olacaktır.

Bu yöntemde saldırgan sistemdeki PC’lerden birisinin network bağlantısını keserek kendi sistemine bağlar, sistemindeki ikinci bir network bağlantısından ana network’e bağlanır. Öncelikle hattı kesilen PC’nin gönderdiği ve aldığı tüm mesajları aynen yönlendirmeye başlar. Bu sayede PC kullanıcısı sistemle bağının koptuğunu hiçbir şekilde anlayamaz. Saldırgan yeterli sayıda dinleme yapıp, veri topladıktan sonra aktif duruma geçer. Örneğin PC’nin gönderdiği bir havale talimatındaki alıcının hesap numarasını ve miktarını değiştirebilir. Bu işlemleri gerçek zamanda ve yüksek hızda yapabildiği için tüm işlemler anında gibi olacağından, sistem logları, kameralar, v.s. saldırıya uğrayan kişiyi masanın başında, sistemi kullanırken belgeliyeceği için kendisini temize çıkarmayacaktır.

Bu yöntemde saldırgan sistemin network bağlantısını keserek çalışmayı engelleyecektir. Amaç sistemin sekteye uğratılarak mesajların gönderilmesini engelleyerek belirli menfaatler elde etme veya kurumu hizmet yapamaz duruma getirerek zarara uğratmaktır. Sabotaj veya kaza sonucu bu durum oluşabilir. Basit bir kablo kesintisiyle olabileceği gibi zor temin edilebilir bir network kartı, hub veya router gibi bir sistem ünitesini tahrip ederek sistemin yeniden devreye girebilmesi zora sokulabilir.

Bu yöntemde saldırgan sistemin network bağlantısını keserek bağlantıyı kendi bilgisayarına yönlendirmek suretiyle sanki normal bilgisayarlardan gönderilmiş gibi tamamen fabrikasyon mesajlar göndermeye başlayacak ve karşı tarafa gönderilen mesajları alarak, gerçekten alınmış gibi onaylayacaktır. Karşı taraf mesajın sahibi tarafından alındığı düşünülecektir.

Bilgisayar temelli bankacılık sistemlerin önemli zaafiyetlerinden birisi de inkar olasılığıdır. Bunun anlamı müşteri veya kullanıcılardan birisinin yaptığı işlemi inkar etmesidir. Örneğin, “ABC firmasına XYZ miktar ödeme yapın emrini vermedim” demesidir. Diğer bir inkarda alıcının mesajı aldığını inkar etmesidir, örneğin, “RTY firmasından 1000 lot ZXT hissesini 5000 liradan al emrini almadım” demesidir. Sistemlerin bu şekilde inkara müsait olması bankayı hukuki davalarla sıkıntıya sokabilecek bir durumdur.

Diğer bir inkar senaryosunu şu şekilde oluşturabiliriz. ATM sistemi, BANKACILIK sisteminden 53636363122737 numaralı kartın hesabın 100.000.000 TL çekmek için provizyon talebi yapar. Bankacılık sistemi daha sonra prvizyonu verir ve ATM sistemi ödemeyi yapar. Daha sonra yapılan itirazlar sonucu fazla ödeme yapıldığı iddia edilir. Yapılan soruşturmalar sırasında ATM sistemi provizyonu aldığını iddia etmektedir, BANKACILIK sistemi ise bu provizyonu inkar etmektedir.

Network’e bir şekilde bağlanan bir saldırgan belirli bir süre pasif olarak dinleme yaptıktan sonra sisteminin zaafiyetleri kolaylıkla anlayabilir. Bu bağlamda klasik güvenlik delikleri vardır. Örneğin TELNET, NFS, POP3, SMTP, FTP, v.s. gibi servislerin çalıştırılmaları son derece tehlikelidir. Bu servislerden en tehlikelileri TELNET ve NFS’dir. Saldırgan bu sistemlerin şifrelerini çok kolaylıkla elde edebilir ve kolayca ana bilgisayara bağlanır. Ana bilgisayara bağlandıktan sonra veya önce networkü dinleyerek ROOT password şifresini sistem operatörlerinden birisinin makinası üzerinden kolaylıkla elde edebilir. Bu şifreyi kullanarak öncelikle sistemin gizli ve yarı gizli password dosyalarını alır. Bu dosyaları hızla analiz ederek, kısa bir süre içinde kullanıcı şifrelerin büyük bir bölümünü çözebilir. Bu yetkiye dayanarak sistemin loglarında oynayabilir, kendisine üstün yetkilere sahip yeni hesaplar açabilir, sistemde yeni servisler çalıştırarak, arka plana çekilir. Yeni servisler tamamen şifreli işlem yaparak network üzerinden anlaşılmadan hizmet verilmesine olanak sağlar. Ana bilgisayara hakim olan kullanıcının ORACLE, INFORMIX, v.s. gibi SQL serverlara hakim olması son derece basit bir işlemdir. ( şifreler TELNET bağlantısı yapan kullanıcıların network üzerinden yaptığı iletişim dinlenerek elde edilebilir ). SQL komutları verebilen bir kullanıcı da verileri istediği gibi değiştirebilir, istediği hesaba istediği kadar para ekleyebilir, v.s., v.s. Bundan da vahimi bu bilgisayardan başka bilgisayarlara internet üzerinden saldırı başlatabilir. Bu bağlamda karşı taraf saldırının sizin bilgisayarınızdan yapıldığı kanısına varacaktır ve bu nedenle yasal kovuşturmaya uğrayabilirsiniz.