 |
Hacker'lar Sistemlere Nasıl Girerler... ve Yakalanırlar!Bölüm B
Çalışkanlık
Abednego Refrigerators R US'da daha pek çok çalışanın makinasının kabinlerinde ya da ofislerinde sessizce oturuyor olduklarını düşünür. Bu çalışanlardan bazılarının (firewall'u devre dışı bırakacak olan) evden bir modem kullanıp işyerine bağlanarak gece geç saatlere kadar çalışmayı seven birileri olması da mümkündü. Aslında bir çalışanın modem satın alıp işyerinde telefon hattına bağlayıp akşam işten çıkması çok kolay.
Abednego, her büyük firmanın ağında yetkisiz bir modem bulunduğu düşüncesiyle ShokDial isimli bir war-dialer programı kurar. Bu program Refrigerators R US'ın telefon numarasındaki tüm dahili numaraları tarayacaktır. Şirketin ana merkezindeki gece bekçisi telefonların birbiri ardına çaldığını duyar fakat bu konuda hiçbirşey düşünmez.
Ve 2:57'de, war-dialer bir modem yakalar. Abednego bir Silicon Graphics bilgisayarın logon ekranı ile karşılaşır: “Refrigerators R Us Pazarlama Departmanı. Irix 6.3”. Abednego “Harika” diye düşünür çünkü Irix bir Unix çeşididir ve Dogberry’nin dünyasına açılan bir kapı olabilir.
Abednego'nun bir sonraki stratejisi, o makinada tüm komutları çalıştırabilecek ve tüm bilgilere erişebilecek olan root kullanıcı hesabının şifresini brute-force (Irix makineyi devamlı olarak arayarak şifrelerini denemek) yöntemi ile bulacak bir program kullanmaktır. Irix makinenin sahibinin uzaktan bir root hesabına erişime izin bıraktığını umar.
Şifre bulucu program öncelikle genel kullanılan kelimeleri dener. Bu işlem aylar hatta yıllar sürebilir çünkü şifre bulucu program bir sözlükteki, bir ansiklopedideki yada telefon rehberindeki tüm isimleri deneyebilir. Fakat Abednego şanslıdır. Sabah 5'e doğru şifrenin “nancy” olduğunu bulur.
“Evet!” diye bağırır Abednego sisteme login olduğunda. Hemen izlerini gizleyebilmek için FTP ile kurban makineye bir rootkit ve sniffer programı yerleştirir. Keystroke loggin' adı verilen, kullanıcının sistemde bastığı tüm tuşları ve ağ üzerinden login'leri kayıt edecek sniffer programlarını çalıştırır. Sniffer bu bilgiyi, dikkat çekmeyecek isimde bir dosyada saklayacaktır. Birkaç dakika içinde Abednego'nun rootkit'i logon olmak için ek bir yol daha hazırlamıştır: Kullanıcı ismi: “revenge” (intikam) Şifre: “DiEdOgB”.
Abednego sabah son olarak basit bir işlem daha yapar. Ele geçirdiği makinanın internet adresini bulmak için “who” komutunu kullanır ve “revenge” kullanıcısının picasso.refrigeratorz.com adresine logon olduğunu görür. Ve sabah daha geç saatlerde picasso'nun gerçek kullanıcısı sistemin başına geçtiğinde bilgisayarının bir başkası tarafından kullanıldığını farkedemez. Abednego'nun rootkit'i işini iyi yapmaktadır.
Dogberry, logları incelediğinde sabah erken saatte refrigeratorz.com'a internetten girme denemesi dışında olağan dışı birşey görmez. Son günlerdeki FIN taramalarını hatırlayıp bu deneme karşısında endişelenir fakat elinde çok az bilgi vardır.
İki gece sonra Abednego picasso'nun loglarını incelemek için modem ile bağlanır. İç ağdaki trafiğin şifrelenmiş olduğunu görür. Fakat sniffer'ının basılan tuşları loglaması işe yaramıştır ve picasso'nun kullanıcısının fantasia isimli başka bir makineye login olduğunu görür. Artık fantasia için de bir kullanıcı ismi ve şifresi vardır. Açıl Susam Açıl!
Abednego makinenin televizyon reklamları için olabilecek animasyonların render edildiği bir SPARC workstation olduğunu öğrenir. Makina diğer makinalar tarafından da kullanılan bir sunucu olabileceğinden, Abednego bir şifre dosyası aramaya başlar. Bulabildiği şifrelerin firmadaki diğer makinalarda da çalışabileceğini ummaktadır.
Dosyayı bulur fakat şifrenin olması gereken yerde “x” karakterleri bulunmaktadır. Göründüğü üzere aradığı bilgi başka bir (shadowed) dosyada gizlenmektedir. Abednego ftp programını çalıştırır ve çökmesini sağlar. Bingo! Core dump!
Fantasia, RAM (random-access memory) deki bilgilerin bir kısmını ortaya çıkarmak zorunda bırakılmıştı. Abednego'nun şansına bu bilgi (RAM de o anda tutulan bilginin kaydı) kullanıcı dizinindeydi artık.
Core dump'ların asıl amacı programcıların dijital kalıntılarda programın niye başarısızlığa uğradığı hakkında fikir/bilgi sahibi olmasıdır. Fakat, Abednego'nun iyi bildiği gibi, core dump başka amaçlar içinde kullanılabilir. Bir “shadowed” şifre sistemi bazen kriptolanmış şifreleri RAM'de tutar. Bir kullanıcı logon olduğunda bilgisayar kullanıcının girdiği şifreyi tek yönlü olarak kriptolar ve shadow'lanmış dosyadaki kriptolanmış şifre ile karşılaştırır. Eğer ikisi birbirini tutuyorsa kullanıcı sisteme girer.
Abednego'nun fantasia'daki core dump'tan elde ettiği şifreler kriptolanmış haldedir, O yüzden şifre kırıcı programını çalıştırır. Program şifreyi kırmak için birkaç gün belki de haftalarca uğraşacaktır.
Bekleyemiyecek kadar sabırsız olan Abednego bir sonraki işlemine başlamıştır bile. Unix sisteminin bir açığından faydalanmak. Bir sistemde çalışan bir program tampon hafızaya (buffer - hafızada geçici depolama alanı) aşırı miktarda bilgi dökerse bu bilgiler bilgisayarın hafızasının diğer alanlarına taşar.
Abednego kendi kodunu SPARC makinede çalıştırabilmek için hafıza taşmasından yararlanır. Bu sayede bir root shell'ine sahip olur. Son çabaları Abednego'yu fazlasıyla memnun etmiştir. Bir de sniffer ve rootkit kurar sisteme. Rootkit aktif olduğu zamandan sonraki izleri gizleyeceğinden, Abednego gece boyunca önceden yaptığı işlerin izlerini siler.
Son bir iş kalmıştır: Fantasia'ya internet'ten girilmesine izin verilen başkaları var mı? Abednego sisteme bağlantı yapan kişilerin listesini görmek için “last” komutunu kullanır. Refrigerators R Us güvenlik duvarı dışarısında bulunan “adagency.com” alanından internet yoluyla fantasia'ya logon olan iki kullanıcı ismi görür: “vangogh” ve “nancy”.
Abednego o sabah zorla uyur. Yakında Refrigerators R Us'a sahip olacağı (own) düşüncesi onu heyecanlandırmaktadır.
____________________________________________________________
Son Darbe
Sonraki akşam, Abednego adagency.com'a girmek için kısa bir çalışma yapar. İlk olarak IP spoofing kullanarak karşı makinenin kendisi için farklı bir IP algılamasını sağlar. SYN/ACK cevaplarındaki sıra numaralarını izlemek için adagency.com'a SYN paketleri göndermeye başlar. Program kısa sürede, sonraki sıra numaralarını tahmin edebilmesine yarayacak bir patern çıkartır. Abendego, adagency.com'a hemen bir sniffer yerleştirir ve fantasia'ya logon olmada bağlantıyı şifreleyecek olan bir secure-shell programı kullanır.
O makinede, ağa yapılmış bağlantıları görmek için ‘netstat’ komutunu çalıştırır. Önceki aramalarında gözünden kaçan bir makina bulur. 'admin.refrigerus.com'. Acaba bu makine Dogberry'nin sistemi izlediği makine olabilirmi?
Bu sırada Abednego'nun PC'si kullanıcı şifrelerini kırdıkça onları refrigerus.com'daki diğer makinalarda denemektedir. Fakat hiçbiri zaten sahip olduğu fantasia dışında başka bir makinede çalışmamaktadır.
Fantasia'da firmanın web sitesini güncelleyen vangogh tarafından basılan tuşları yakalar. Ve artık refirgerus.com'un web sitesini hacklemek için elinde gerekli şifre vardır. Ayrıca picasso'daki sniffer'ı Nancy isimli birisinin makineye dial-up bağlandığını ve root kullanıcı hesabı için bir backdoor kullanarak admin.refrigerus.com'a girdiğini ortaya çıkarır.
Nancy'nin peşinden admin.refrigerus.com'a login olur. Root hesabını kullanarak diğer makinelere login olmaya çalışır fakat Dogberry aşırı derecede dikkatli davranmıştır. Refrigerators R US ağında root haklarına sahip birisi bile diğer makinelere yeni bir şifre girişi yapmadan girememektedir.
Tekrar web sunucusuna döner ve yeni hesabıyla login olur. Evdeki PC'sinden refrigerus.com için bugünü düşünerek hazırladığı yeni bir web sayfasını upload eder.
Refrigerators R US'da, Dogberry geç saatte çalışmaktadır. Loglarını dikkatlice incelemektedir. Görünüşe göre pazarlama çalışanları adagency.com dan alışılmışın üstünde bir bağlantı gerçekleştirmektedir. Yarın ordakilere neler olduğunu soracaktır. Ayrıca bir zamanlar yeni bir sistem yazılımını kurmasına yardım ettiği sistem yöneticisine de soracaktır.
Dogberry tam eve gitmek için çıkacakken ofis telefonu çalar. Öfkeli bir müşteri Refrigerators R US web sitesinde porno içerik olduğundan bahsetmektedir. Dogberry değiştirilmiş web sitesini görür görmez web sunucusunun ethernet kablosunu çekmeye koşar.
Abednego sanat eseri çok kısa sürede kapatıldığı için sinirlenir. Fakat arkada çok delil bıraktığından endişelenerek hala Dogberry’nin bilmediği, picasso'daki dial-up hatta yönelir. Yönetim makinesinin harddiskini formatlayarak zaman kazanır. Böylece Dogberry'nin saldırı hakkındaki detayları araştırmasını geçici olarak engeller.
Dogberry yönetim bilgisayarına konsoldan boot etmek için koşar fakat artık çok geçtir. Artık Dogberry o makineyi sıfırdan kurmak zorundadır (yedeklerden). Abednego'nun bilmediği bir şey ise, yandaki macintosh makinede EtherPeek çalışmaya ve loglamaya devam etmektedir.
Abednego hala öfkelidir ve o geceki son hareketini yapar: refrigerus.com'a trafiğin çoğunluğunu harcayacak şekilde bir saldırı yapar. Kısa sürede Dogberry firma satış elemanlarının birinden telefon alır. Kullanıcı önemli e-mail'lerini alamamaktadır.
Ertesi sabah, Dogberry yorgun bir şekilde teknik bölüm üst yönetiminden ağdaki tüm makinaların temizlenmesi ve baştan kurulması için izin ister fakat bu işlem uzun süreceğinden isteği reddedilir.
Bu noktada, Abednego'nun kötü amaçlı ve yokedici saldırıları kanun sınırlarını aşmıştı. Fakat FBI o sıralar çeşitli ordu bilgisayar sistemlerine yapılan saldırıları araştırmaktaydı ve Dogberry kendi başına daha çok delil toplamalıydı.
Saldırgan, ağ internet'ten fiziksel olarak koparıldıktan sonra bile sistemde kaldığına göre Dogberry binada bir yerlerde haberi olmadığı bir modem olduğundan şüphelenir. Kendi war-dialer'ını çalıştırır ve modemi tespit eder. Şimdi pazarlama departmanına söyleyecek bir çift sözü vardır.
Dogberry kendisinin ana yönetim bilgisayarını tekrar hazırlar ve saldırgan admin.refrigerus.com'a login olmak istediğinde kendisini üzerinde sahte muhasebe bilgiler vs. olan bir NT sunucuya yönlendirecek şekilde port-mapping yapar.
2 gece sonra Dogberry nöbette iken saat 8:17 P.M.'de birisinin admin.refrigerus.com'a girmeye çalıştığını farkeder. Bu Abednego'dur. Abednego pornografik web sitesinin underground kesimde konuşulduğunu duymuş ve heyecanlanmıştır. Bazı yerlerde de haber olması onun kendisini yenilmez hissetmesini sağlamıştır.
Ve bu gece her zamanki dikkatini vermeden Refrigerators R US'a girer. Bir servis sağlayıcıdaki misafir hesabına bağlandıktan sonra fantasia'daki backdoor'a hızlı erişim için adagency.com'a telnet çeker.
Abednego admin.refrigerus.com'dan otomatik olarak tuzak NT sunucuya yönlendirilir. Abednego önemli finans bilgileri olduğuna inandığı bilgileri incelemek için heyecanlanmaktadır.
Dogberry ise sniffer ile edindiği bilgileri analiz etmekle meşguldur. Abednego'nun fantasia'daki root şifresini bulmuştur bile. DiEd0gB. Ve saldırganı adgency.com'a kadar izleyebilmiştir. Dogberry oranın sistem admininin çağrı cihazına mesaj gönderir. Admin işten çoktan ayrılmıştır fakat yardım edeceğini Dogberry'yi arayarak telefonda bildirir.
Böylece, Abednego uydurma kredi kartları bulunan büyük bir dosyayı çekerken Dogberry adagency.com'a bir sniffer yerleştirir. Abednego tembelce tüm makinalarda aynı şifreyi kullandığı için Dogberry fark ettirmeden adagency.com'a died0gb şifresini kullanarak girer. Ve Abednego büyük dosyayı çekmesini bitirip logoff olmadan Dogberry saldırganın izini servis sağlayıcıya kadar takip etmiştir bile. Dogberry'nin elde ettiği bilgi FBI’ı getirmek için yeterlidir. FBI sonraki gün Servis sağlayıcıyı arayarak Abednego'nun kimliğini telefon loglarından bulur. Eldeki delillerle ve macintosh'un Etherpeek loglarıyla arama emri çıkartılır. Kısa zamanda FBI ajanları Abednego'nun apartmanına baskın yapar ve PC'sine el koyar. Bilgisayarın harddiski herşeyi ortaya çıkartacaktır. Abednego her gece eylemlerinden sonra çektiği dosyaları sisteminden silme önlemini almıştır fakat FBI'ın bu silinmiş dosyaları ortaya çıkaracağını öğrenecektir. Bir süre sonra bir bankaya yaptığı saldırılar da dahil olmak üzere yaptıkları ortaya çıkar. Suçları kanıtlayan megabyte'larca bilgi Abendego'nun bilgisayar yolsuzluğu yüzünden ceza yemesi için fazlasıyla yeterlidir. Şansına, dava hakimi sibersuç davalarına karşı sert tutumu ile tanınmıştır. Abednego çizmeyi aşan pek çok hacker gibi (binlerce dolar zarar yaratan) işlemlerinin sadece eğlenceli bir oyun olduğu konusunda ısrar eder. Abednego bu yazı yazıldığı sırada federal hapishanede 2 yıllık hapis cezası ile yatmaktaydı.
**SON**