5 Eylül 2012 Çarşamba

Footprinting

Footprinting, hazırlık niteliğinde, atak öncesi bölümün bir parçasıdır ve hedefin bulunduğu ortam ve mimarisi hakkında bilgi toplamayı ifade eder, genelliklede amaç, saldırılacak ortama zorla girmek için yollar aramaktır. Footprinting , sistemin savunmasız yerlerini açığa çıkarabilir ve hackerların sömürebilecekleri kolay yerleri belirler. Bu yol, hackerlar için bir bilgisayar sistemi veya bu sisteme sahip olan şirketler hakkında bilgi toplamanın en kolay yoludur. Bu hazırlık aşamasının amacı, sistem hakkında olabildiğince fazla bilgi toplamak, uzaktan erişim imkanlarını öğrenmek, portları ve servisleri ve güvenliği ile ilgili özel bilgileri ele geçirmektir.

Footprinting Kavramının Tanımı :

Footprinting, bir şirket networkünün ve sistemlerinin bir kopyasını veya haritasını yaratma işidir. Bilgi toplama ayrıca bir şirketin ayak izi olarakta bilinir. Footprinting, hedef sistemi, uygulamaları ve hedefin fiziksel lokasyonunu belirlemek ile başlar. Birkez bu bilgiler ele geçirildiğinde şirket hakkında özel bilgiler normal yoldan elde edilir. Örneğin, bir şirketin web sayfası, hacker’ın bir hedefe ulaşmak için social enginnering yapabilmesini sağlayacak olan bir personel dizini veya çalışanların hayatı ile ilgili bilgiler tutuyor olması gibi.
Bir hacker ayrıca google veya yahoo üzerinden arama yaparak çalışanlar hakkında bilgilerede ulaşabilir.
Google arama motoru, bilgi toplama işini gerçekleştirebilmek için yaratıcı yöntemler ile kullanılabilir. Google arama motorunu kullanarak bilgiyi elde etmeye Google hacking olarak isimlendirilir. http://groups.google.com/ adresi Google habergruplarında arama yapmak için kullanılabilir. Aşağıdaki komutlar Google hacking’i gerçekleştirmek için kullanılacak komutları belirtir :

Site : Belirli bir web sitesi yada domaini arar. Aranılacak web sitesi (: ) işaretinden sonra belirtilmeli.
Filetype: Belirli türde dosyada ve sadece text içinde arama yapar. Arama yapılacak dosya tipi (: ) işareti sonrasında belirtilmelidir.Dosya uzantısından önce nokta olmamalı.
Link : Aranılacak terimi bağlantılar içinde arar ve bağlı sayfaları belirtir.
Cache : Bir web sayfasının versiyonunu bulur. Web sitesinin URL adresi (: ) işaretinden sonra belirtilmeliidir.
Intitle : Aranılacak terimi döküman içinde arar.
Inurl : Bir dökümanı URL (Web adres) içinde arar. Aranılacak kelime (: ) içaretinden sonra yazılmalıdır.

Bir hacker örnek olarak şu komutu Google arama motorunda kullanabilir : INURL:["parameter="] with FILETYPE:[ext] and INURL:[scriptname] , bu komut ile belirli tipteki savunmasız web uygulamalarını bulabilir.
Veya bir hacker şu arama dizisini kullanarak Novell BorderManager Proxy/Firewall serverları bulabilir: intitle: "BorderManager information alert"

Bloglar, habergrupları ve basın, şirketler ve çalışanlar ile ilgili bilgi toplamak için uygun yerlerdir. Şirket iş kayıtları şirketin networkünde kullandığı serverlar veya altyapı cihazları hakkında bilgi sağlayabilir. Elde edilen bilgi içinde, kullanılan internet teknolojileri, işletim sistemi ve kullanılan donanım, aktif Ip adresleri, mail adresleri ve telefon numaraları ve şirket politikaları ile prosedürleri bulunabilir.

Not : Genellikle bir hacker hedef ile iligili bilgi toplamak ve profilini çıkarmak için zamanının %90’ını harcar, atak içinse zamanının %10’u harcar.

Bilgi Toplama Yöntemi :

Bilgi toplama 7 mantıksal adıma bölünebilir. Footprinting işlemi, bilgiyi ortaya çıkarmak ve network alanını belirlemenin ilk iki adımında gerçekleşir.

Bilgi toplamada yaygın olarak kullanılan bazı kaynaklar :
- Domain ismi arama
- Whois
- Nslookup
- Sam Spade

Bu araçlardan bahsetmeden önce unumayınki açık kaynağa sahip bilgi, hedef, telefon numaraları ve adresler hakkında bilgi bolluğu sağlayabilir. Whois isteklerini gerçekleştirmek, DNS tablolarını aramak ve açık portlar için Ip adreslerini taramak, diğer açık olan kaynaklar footprinting biçimleridir. Bu bilgileri ele geçirmek oldukça kolay ve yasaldır.
DNS’in nasıl işlediği ve DNS kayıtlarının özellikleri, bu kitabın konusu dışındadır ve detaylarınıdan bahsedilmiyecektir. Bilgi toplamanın özelliği ile ilişkili en önemli detaylar bu kitabın kapsamındadır.

Competitive Intelligence’ın Açıklaması :
Competitive Intelligence, rakip ürünler, pazarlama ve teknolojiler hakkında bilgi toplamak anlamına gelir. Bir çok rekabet ile ilgili yapılan istihbarat, firmayı normal yollardan araştırmaktır ve tehlikesizdir. Bu, ürün karşılaştırması veya rakibin kendi ürünlerini ve servislerini nasıl konumlandırdığını anlamak için satış ve pazarlama taktiklerini öğrenmekte kullanılır. Competitive Intelligence (Rekabet için istihbarat) konusunda bir çok araç bulunur ve hackerlar bu araçları bilgi toplamak için potansiyel birer araç olarak kullanırlar.

DNS Enumeration (DNS Dökümü)’nü Anlamak :
Dns enumeration, tüm DNS serverların yerini ve şirket ile iligili kayıtlarını belirleme işlemidir. Bir şirket, hedef sistemler ile ilgili kullanıcı adları, bilgisayar isimleri ve IP adresleri gibi bilgiler sağlayan dahili ve harici DNS serverlara sahip olabilir.
NSlookup, DNSstuff, the American Registry for Internet Numbers (ARIN) ve Whois DNS enumeration işlemini gerçekleştirmek amacıyla bilgi toplamakda kullanılabilir.

Nslookup ve DNSstuff :
Aşina olmanız gereken en güçlü araçtır. Bu araç DNS serverlara kayıt bilgileri için sorgular gönderir. Bu araç, Linux, Unix ve Microsoft işletim sistemleri içinde gömülü olarak bulunur. Ayrıca Sam Spade gibi hacking araçlarıda bu aracı içerir.

Whois ve ARIN Aramaları :

Whois, Unix işletim sistemi tarafından gelitirilmiştir fakat şu anda tüm işletim sistemleri içinde ve aynı zamanda hacking araçlarında ve internet üzerinde bulunmaktadır. Bu araç, web sitelerini ve email adrelerinin kimin tarafından kayıt ettirildiklerinin bulunmasını sağlar. Bir Uniform Resource Locator (URL), örneğin www.microsoft.com adresi Microsoft.com domain ismini ve www alias veya host ismini içerir.
The Internet Corparation for Assigned Names and Numbers (ICANN) kurumu, sadece bir şirketin belirli bir domain ismini kullanmasını sağlamak için domain isimlerini kaydeder. Whois aracı, domain kaydını tutan şirket veya tekil kişinin kontak bilgilerini almak için kayıt veritabanını sorgular.
ARIN, statik adreslerin sahibi gibi türden bilgiyide içeren bilgi veritabanıdır. ARIN veritabanı Whois aracı kullanılarak sorgulanabilir. http://www.arin.net/whois gibi.

Adresler, amail adresleri ve kontak bilgilerinin hepsi Whois aramasının içinde olduğuna dikkat edin. Bu bilgi hackerlar tarafından belli IP adresinden kimin sorumlu olduğunu ve hedef şirketten kimin sorumlu olduğunu bulmak için kullanılabilir veya kötü niyetli bir hacker tarafından şirkete karşı social engineering atakları için kullanılabilir. Bir güvenlik uzmanı olarak ARIN gibi halka açık olarak arama yapılabilen veritabanlarından bu tür bilgilerin olmamasını sağlamalısınız ve kötü niyetli bir hacker’ın network’e karşı bir saldırı için kullanamıyacağından emin olmalısınız.

Hiç yorum yok:

Yorum Gönder