Sizin Portal: February 2008

Phishing ve Güvenlik

Thursday, February 7, 2008

Phishing nedir?

Phishing kısaca online dolandırıcılık olarak tanımlanabilir. Phishing yönteminde temel amaç internet kullanıcısını kandırarak, kullanıcıya ilişkin kredi kartı bilgileri, banka hesap numaralarından bu hesaba ait online internet şifresine kadar birçok özel bilgileri ele geçirmektir.

Bu dolandırıcılık işlemi nasıl gerçekleştirilmektedir?

Kullanılan yöntemlerin başında e-posta ile gönderilen sahte mesajlar gelmektedir. Bu e-posta, bir ticari kurumdan(bankalar, alışveriş siteleri vb.) geliyormuş gibi bir izlenim yaratır. Bu, kullanıcının kendisine ait bilgileri girmesi için kurumun internet adresine ilişkin bağlantıya(link) tıklamasını içeren bir e-posta olabilir. E-posta içeriği kişisel bilgilerin güncellenmesi, sistemdeki yeniliklerin hesabınızda aktif olması için şifrenizi girin gibi mesajlardır.

Bunu gören kullanıcı e-posta ile gelen mesajdaki bağlantıya tıkladığında kurumun web sitesinin birebir kopyası olan başka bir sayfaya yönlendirilir. Burada girilen şifre gibi özel bilgiler artık başkasının eline geçer.

E-posta kullanım oranının çok yüksek olması bu tür online dolandırıcılık işlemlerinin e-posta yoluyla gerçekleşmesinde temel etmenlerden biridir. E-posta içeriğinde belirtilen bağlantı (genellikle ticari kurumların web sitelerine yönelik sahte gösterim) kullanıcıların aldanmasında büyük rol oynar. İnternet kullanıcısı, üyesi olduğu ticari bir kurum sitesine yönlendirildiğini sanıp kendisine belirtilen yönergeleri uygular. Sonuçta online dolandırıcılık işlemiyle gerçekleşir. Phishing ataklarındaki önemli artış internet gezgin(browser) uygulamalarının(İnternet Explorer,Mozilla Firefox,Opera vb.) güvenlik sorunlarını da ön plana çıkarmıştır.

Bu tür online dolandırıcılık işlemleri Türkiye'de var mıdır?

Son günlerde ülkemizde de bu çeşit kullanıcıya yönelik ataklar görülmektedir. Rastlanılan phishing ataklarının temel konusunu YTL güncelleme işlemi içermektedir. Rastlanılan bu tür dolandırıcılık işleminde hedef alınanlar AKBANK, GARANTİ BANKASI, FİNANSBANK, HSBC BANKASI, TÜRKİYE İŞ BANKASI, KOÇBANK, KUVEYT TURK ve YAPI VE KREDİ BANKASI müşterileridir.

YTL güncelleme konusunda internet kullanıcılarına iki çeşit e-posta gönderilmektedir. İlk e-posta “ YTL'ye Gecis islemleriniz...” başlığı adı altında internet kullanıcılarına yollanmıştır. Bu e-postayı gönderen kişi “T.C. Merkez Bankasi” ,gönderen e-posta adresi “merkezbankasi@tcmb.gov.tr” görülmektedir. T.C. Merkez Bankasından gönderilmiş havası verilen bu e-posta tamamıyla kullanıcıyı yanıltmak.

Kullanıcıya gönderilen e-posta;

Sayin Musterimiz...

AKBANK, FINANSBANK, HSBC BANKASI, TURKIYE IS BANKASI, KOCBANK, KUVEYT TURK
ve YAPI VE KREDI BANKASI yeni yilda Turkiye genelinde YTL islemlerinizi ucretsiz olarak
otomatik olarak yapmaktadir. Hesabinizla ilgili islemleri otomatik olarak yapmak icin asagida
belirtilen YTL Guncelleme sayfasi uzerinden veya T.C Merkez Bankasi Ankara subemizden
bilgilerinizi teyit etmeniz gerekmektedir. Bu islemlerinizi yaptiktan sonra hesabinizdaki YTL
bakiyeniz otomatik olarak ekstre ve hesap bilgilerinize islenicektir...

Lutfen Asagidaki Linke Tiklayiniz..
https://www.tcmb.gov.tr/musteri/ytl/guncelleme.jsp

Eger Calismazsa;
http://www.onlinebanka.net/tcmb/

DIKKAT: Lutfen TCMB uzerinden gelmeyen mailleri dikkate almayiniz. TCMB yukarida belirtilen
bankalar disinda hic bir banka ile YTL calismasi yapmamaktadir. TCMB uzerinden gelmeyen ve
yukarida listelenen bankalar disinda gelen mailleri ayrintilariyla guvenliginiz icin bize bildirin. YTL
Islemleriyle hicbir banka dogrudan ilgilenmemektedir. Butun YTL islemleri TCMB tarafindan
organize edilmektedir.
TESEKKURLER ......

Kullanıcı,T.C. Merkez Bankasına ilişkin belirtilen web adresine tıkladığında http://www.onlinebanka.net/tcmb/ şeklinde belirtilen bir adrese yönlendirilecektir.
Phishing ataklarının büyük çoğunluğunu ticari kurumların web sitelerine ilişkin konular işlenmektedir.

Phishing ataklarının büyük çoğunluğunda ticari kurumların web sitelerine ilişkin konular işlenmektedir

Buna benzer bir e-posta daha kullanıcılara gönderilmiştir. Bu e-posta yine T.C. Merkez Bankasından gönderiliyormuş hissi oluşturularak internet kullanıcılarını yanıltma yoluna gidilmiştir.

Bu e-postanın konusu “Merkez Bankasi Genel Guncelleme Formu” , gönderen kişi işlemler , gönderen e-posta olarak islemler@tcmb.gov.tr görülmekte.

Bu e-posta içeriği şu şekildedir;

Sayin musterimiz...

AKBANK, GARANTI BANKASI, FINANSBANK, HSBC BANKASI, TURKIYE IS BANKASI,
KOCBANK, KUVEYT TURK ve YAPI VE KREDI BANKASI yeni yilda Turkiye genelinde YTL
islemlerinizi ucretsiz olarak otomatik olarak yapmaktadir. Hesabinizla ilgili islemleri otomatik olarak
yapmak icin asagida belirtilen YTL Guncelleme sayfasi uzerinden veya T.C Merkez Bankasi
Ankara subemizden bilgilerinizi teyit etmeniz gerekmektedir. Bu islemlerinizi yaptiktan sonra
hesabinizdaki YTL bakiyeniz otomatik olarak ekstre ve hesap bilgilerinize islenicektir...

https://www.tcmb.gov.tr/ytl/guncelleme.jsp

Eger yukarida yazili olan link calismiyorsa lutfen asagidaki linki kullaniniz:
http://216.193.248.173/merkezbankasi/ytl/

DIKKAT: Lutfen TCMB uzerinden gelmeyen mailleri dikkate almayiniz. TCMB yukarida belirtilen
bankalar disinda hic bir banka ile YTL calismasi yapmamaktadir. TCMB uzerinden gelmeyen ve
yukarida listelenen bankalar disinda gelen mailleri ayrintilariyla guvenliginiz icin bize bildirin. YTL
Islemleriyle hicbir banka dogrudan ilgilenmemektedir. Butun YTL islemleri TCMB tarafindan
organize edilmektedir.
TESEKKURLER......

Yukarıda belirtilen adreslere tıklanıldığında, çeşitli bankalara ilişkin formlar gelmektedir. Bu formlar çeşitli bankalara göre düzenlenmiştir. Bu formlarda belirtilen işlemleri gerçekleştiren kullanıcı online dolandırıcılıkla karşı karşıya kalmaktadır. Kullanıcı, görünürde olağan olan ama işleme konulduğunda farklı bir bağlantıya yönlendirildiğinde (kullanıcı tam dikkat etmedikçe şüpheli bir durum yoktur) IE'nin(İnternet Explorer) adres çubuğunda;
https://secure.tcmb.gov.tr/ytl/guncelleme.jsp?sira=346589138&onay=1&mr=y8sasxrc7zxc
şeklinde bir adres belirir.

Gündemde olan Phishing atakları gün geçtikçe popularitesini arttırmaktadır. İnternet kullanıcıları, kendilerine gelen e-posta içeriklerine dikkat etmelidir.

Kullanıcının yönlendirildiği bu adres gerçekte şüphe uyandırmayan bir adrese benzemektedir. Gerçek şu ki; kullanıcıya e-posta ile belirtilen adres ile yönlendirilen adres(ticari bir kurum sayfasına benzetilerek oluşturulan sahte bir web sitesi) farklıdır.

IE'nin adres çubuğunda bu şekilde sahte bir adres göstermesine neden olan etmen sayfa içinde yer alan bir javascripttir.

Örneğin:

...
function vuln_show() {
if (vuln_win)
vuln_win.show(vuln_x, vuln_y, vuln_w, vuln_h);
}
var vuln_html= '\x3Cdiv style="height: 100%; line-height: 17px; font-family: \'Tahoma\', sans-serif; font-size: 8pt;">
https://secure.tcmb.gov.tr/ytl/guncelleme.jsp?sira=346589138&onay=1&mr=y8sasxrc7zxc\x3C/div>'
if (window.createPopup) {
vuln_calc();
vuln_pop();
window.setInterval(vuln_calc, 25);
} else {
...

Saldırganlar Phishing ataklarının gerçekleşmesi için en fazla internet gezgin uygulamalarındaki açıklardan faydalanılır. Bu tür saldırılardan korunmak için kullandığınız yazılımları ve programları devamlı olarak güncellemeniz gerekmektedir. Diğer güvenlik önlemleri için e-hacker.blogspot.com dökümanlar bölümündeki yazılardan faydalanabilirsiniz.

Bilgisayar Ağları ve Temelleri

Tuesday, February 5, 2008

Iletisim Ağlari Yapisal Modeli

Bu bolumde bilgisayar aglarinin birbirleri ile olan iletisimi (internetworking) konusunda bazi temel kavramlar hakkinda bilgi verilecektir.

OSI Referans modeli

Bilgisayarlar arasi iletisimin basladigi gunden itibaren farkli bilgisayar sistemlerinin birbirleri arasindaki iletisim daima en buyuk problemlerden birisi olmus ve bu sorunun ustesinden gelebilmek icin uzun yillar boyunca cesitli calismalar yapilmistir. 1980'li yillarin basinda Uluslararasi Standartlar Organizasyonu (International Standarts Organization-ISO) bilgisayar sistemlerinin birbirleri ile olan iletisiminde ortak bir yapiya ulasmak yonunde cabalari sonuca baglamak icin bir calisma baslatmistir. Bu calismalar sonucunda 1984 yilinda Acik Sistem Baglantilari (Open Systems Interconnection-OSI) referans modeli ortaya cikarilmistir. Bu model sayesinde degisik bilgisayar firmalarinin urettikleri bilgisayarlar arasindaki iletisimi bir standarda oturtmak ve farkli standartlar arasi uyumsuzluk sebebi ile ortaya cikan iletisim sorununu ortadan kaldirmak hedeflenmistir. OSI referans modelinde, iki bilgisayar sistemi arasinda yapilacak olan iletisim problemini cozmek icin 7 katmanli bir ag sistemi onerilmistir. Bir baska deyisle bu temel problem 7 adet kucuk probleme parcalanmis ve her bir problem icin ayri ayri bir cozum yaratilmaya calisilmistir. Bu 7 katmanin en altinda yer alan iki katman yazilim ve donanim, ustteki bes katman ise genelde yazilim yolu ile cozulmustur. OSI modeli, bir bilgisayarda calisan uygulama programinin, iletisim ortami uzerinden baska bir bilgisayarda calisan diger bir uygulama programi ile olan iletisiminin tum adimlarini tanimlar. En ust katmanda goruntu ya da yazi seklinde yola cikan bilgi, alt katmanlara indikce makine diline donusur ve sonuc olarak 1 ve 0 lardan ibaret elektrik sinyalleri halini alir. Asagidaki sekilde OSI referans modeli katmanlari ve bir yerel ag uzerindeki durumu gosterilmektedir:

Cizim-2 OSI Referans modeli

OSI katmanlarinin tanimlanan temel gorevleri:

7- Uygulama

Kullaniciya en yakin olan katmandir. Spreadsheet, kelime islemci, banka terminali programlari vs. bu katmanin parcalaridir.

6-Sunum

Bu katmanda gelen paketler bilgi haline donusturulur. Bilginin karakter set cevrimi veya degistirilmesi, sifreleme vs. gorevlerini bu katman ustlenir.

5- Oturum

Iki bilgisayar uzerindeki uygulamalarin birbirini farkettigi katmandir.

4- Tasima

Bu katman gelen bilginin dogrulugunu kontrol eder. Bilginin tasinmasi esnasinda olusan hatalari yakalar ve bunlari duzeltmek icin calisir.

3-Ag

Baglantiyi saglayan ve ulasilmak istenen bilgisayara giden yolu bulan katmandir. Yonlendirme protokolleri bu katmanda calisir.

2-Veri iletim

Bu katman fiziksel katmana ulasim stratejisini belirler. Fiziksel adresleme, ag topolojisi, akis kontrolu vs. bu katmanin gorevlerindendir. Kopru cihazlari bu katmanda calisir.

1- Fiziksel

Bu katman agin elektriksel ve mekanik karakteristiklerini belirler. Modulasyon teknikleri, calisma voltaji, frekansi vs. bu katmanin temel ozelliklerindendir. OSI referans modeli bir ag uygulamasi degildir. OSI sadece her katmanin gorevini tum detaylari ile tanimlar. Bu modeli bir gemi ya da ev projesine benzetebiliriz. Nasil ayni gemi planini alip farkli firmalar gemi yapabilirse OSI modeli de boyledir. Nasil ayni gemi planindan iki farkli firma gemi urettiginde en azindan kullanilan civiler farkli yerlere cakilirsa, OSI modeli de gerceklestiren firmadan firmaya farklilik gosterebilir.

Baglanti Aygitlari

Bilgisayar agi erisiminde genel olarak dort tip baglanti aygiti kullanilir: tekrarlayici (repeater), kopru (bridge), yonlendirici (router) ve gecityolu (gateway). Tekrarlayicilar tamamen protokol bagimsiz olarak fiziksel katmanda calisir ve fiziksel genisleme amacli kullanilirlar. Geleneksel kopruler ayni protokolu kullanan Yerel Aglar arasinda temel veri duzeyinde baglanti saglar. Buna karsilik, geleneksel yonlendiriciler degisik tipteki ag protokollerini idare edebilecek sekilde programlanabilirler ve boylelikle ayni genis ag alani uzerinde farkli tipteki Yerel Aglari ve bilgisayar sistemlerini destekleyebilirler. Gecityollari daha karmasik olup, islem yogunluklu protokol cevrimi yaparak uygulamalar arasinda isletilebilirligi (interoperability) saglarlar.

Tekrarlayici (Repeater)

Tekrarlayicilar Cizim-3’deki sekilden de gorulecegi gibi fiziksel katmanda calisan cihazlardir.

Cizim-3 Tekrarlayici ve OSI modeli

Tekrarlayicinin temel gorevi bir fiziksel ortamdaki (kablo, fiber-optik, radyo dalgasi vs.) sinyali alip kuvvetlendirip bir diger fiziksel ortama vermektir. Aglarin fiziksel buyukluk sinirlarini daha da genisletmek amaci ile kullanilan bu cihazlar ile kuramsal olarak bir bilgisayar agi sonsuza kadar genisletilebilir. Ancak cesitli bilgisayar aglarindaki tasarim sinirlamalari nedeni ile gercekte bu genisleme belli sinirlar icinde kalmaktadir. Cizim-4 tekrarlyicilarin bir ag uzerinde nasil kullanildiklarini gostermektedir.

Cizim-4 Bir tekrarlayici uygulamasi

Temelde bir agin genisletilmesi amaci ile kullanilan tekrarlayicilar cok kolay kurulmalari, cok az bakim gerektirmeleri ve fiyatlarinin ucuz olmasi sebepleri ile cok populer cihazlardir.

Kopru (Bridge )

Modern, protokol-seffaf kopruler asagidaki sekilde goruldugu gibi OSI referans modelinin veri iletim (data link) katmaninda calisirlar.

Cizim-5 Kopru ve OSI modeli

Kopru cihazlari temelde bagimsiz iki agin (farkli ag teknolojilerini kullanabilirler- Ethernet ve Token-Ring gibi) birbirine baglantisi icin kullanilirlar. Asagidaki sekilde iki Ethernet ve bir Token-Ring aginin birbirlerine kopruler vasitasi ile yapilan baglantisi gosterilmektedir. Bir kopru bagladigi alt aglar ustundeki tum trafigi yurutur. Her paketi okur, paketin nereden geldigini ve nereye gittigini gormek icin MAC (Media Access Control)-katman kaynagini ve yerlesim (destination) adresini inceler. Bu suzme yetenegi mesajlari yayinlamak ya da yerel veri trafiginin diger ag uzerine gecmesini engellemek icin etkili bir yol saglar. Bazi kopruler adres suzmenin ve protokol tipine bagli suzgecin de otesine gider.

Cizim-6 Bir Kopru uygulamasi

Bir kopru, DECnet, TCP/IP, XNS gibi farkli iletisim protokollerini kullanarak, protokol uyumlulugunu gozonune almadan aglar arasinda fiziksel baglanti saglayabilse de, bu uygulamalar arasinda isletilebilirligini garanti etmemektedir. Bu, OSI referans modelinin yuksek katmanlarinda isleyen ve farkli islem ortamlari arasinda cevrim yapabilen standalone protokol ceviricilerini gerektirmektedir. Koprulu aglar, protokol cevrimlerinin olmadigi, guvenlik gereksinimlerinin en az oldugu ve gereken tek seyin basit yonlendirme oldugu durumlarda basarilidir.

Yonlendirici (Router)

Yonlendiriciler asagidaki sekilde goruldugu gibi OSI referans modelinin ag (network) katmaninda calisirlar.

Cizim-7 Yonlendirici ve OSI modeli

Bir kopru sadece paketlerin kaynagini ve gittigi yerin adresini kontrol ederken bir yonlendirici cok daha fazlasini yapar. Bir yonlendirici agin tum haritasini tutar ve paketin gittigi yere en iyi yolu belirleyebilmek icin tum yollarin durumunu inceler.

Yonlendirici farkli fiziksel yapida olan ve farkli protokolleri calistiran yerel ya da genis alan aglarinin birbirleri ile olan baglantisinda basari ile kullanilabilir.

Bir yonlendirici, OSI referans modelinin ag katmaninda genel olarak tanimlanan protokollerle, yerel bolge aglarini genis bolge aglarina baglar. Bu ozellikleri sayesinde ornegin yonlendirici TCP/IP kullanarak bir Ethernet aginin X.25 paket agina baglamasini saglar. Eski yonlendiriciler protokol bagimli olduklarindan, kuruluslarin ag isletim ihtiyaclarini karsilamak icin birden fazla yonlendirici gerekebilir. Yeni yonlendiriciler ise, birden fazla ve degisik protokolu ayni anda idare edebilmektedirler.

Cizim-8 Bir yonlendirici uygulamasi

Yonlendiriciler paketleri iki istasyon arasindaki en iyi yolu gosteren yonlendirme tablosuna gore ilerleterek ag uzerindeki yollari en iyi sekilde kullanirlar. Yonlendiriciler kendi yonlendirme tablolarini olusturduklarindan, ag trafigindeki degisikliklere hemen ayak uydururlar ve boylelikle veri yukunu dengelerler. Ayni zamanda, yonlendiriciler agdaki degisiklikleri tespit ederler ve asiri yuklu ve islemeyen baglantilari onlerler.

Gecityollari (Gateway)

Gecityollari kopru ve yonlendiricilerin yeteneklerinin de otesine gecerler. Asagidaki sekilden de gorulebilecegi gibi OSI referans modelinin ust katmanlarinda islerler.

Cizim-9 Gecityolu ve OSI modeli

Gecityollari sadece farkli noktalardaki aglari baglamakla kalmaz ayni zamanda bir agdan tasinan verinin diger aglarla uyumlu olmasini da garanti ederler. Bu bir server'da, minibilgisayarda ya da ana bilgisayarda bulunan protokol cevirim yazilimiyla yapilir. Internet protokolleri farkli aglar arasindaki veri iletimini, gecityollariyla bagli altaglardan olusmus otonom sistem (Autonomous System, AS) gruplarini birbirine baglayarak yapar. Yani Internet, her biri merkezi olarak yonetilen ag ya da altaglar serisi olan AS serisinden olusmaktadir. Her AS diger AS'lere baglanti saglayan gecityolu sunar. Gecityollari tum farkli aglari birlikte tutan bir yapistiricidir. Internet protokolleri altaglarin nasil birbirine bagli oldugunu ve baglanti araclarinin nasil calistigini tanimlar.

Cookie Nedir ?

Cookie Nedir

Cookie kelimesi "web sayfası sunucusunun sizin bilgisayarınızın hard diskine yerleştirdiği ufak bir text dosyası" için kullanılmaktadır. Yani, o web sitesinin bir sonraki ziyarette sizi tanıması için geçerli bir bilgidir bu. Bu text dosyası bir komut dosyası olmadığı gibi, virüs de değildir. Size özel bir tanımlamadır ve sadece bu kodu tanımlayan web sunucusu tarafından okunabilir.

Cookie'nin amacı; sizin o siteyi yeniden ziyaret ettiğinizi web sunucuya bildirmekten ibarettir.

Ne işe yarar?

Sizi zaman kaybından korur. Kendinize kişiselleştirdiğiniz bir sayfanız varsa ya da bir ürün ya da servis için kayıt olmuşsanız, bu cookie sizi hatırlatır. Bir sonraki dönüşünüzde, istediğiniz bilgiler ekrana gelir (mesela şifrenizin otomatik hatırlanmasını istiyorsanız, hatırlar). Aynı web sitesinden yeni bir servis için kayıt olduğunuzda da daha önce verdiğiniz cevapları otomatik olarak hatırlar. Yani web siteleri sizi bu cookie'ler yardımıyla hatırlar. Bilgileri değiştirdiğiniz takdirde ise yeni haliyel hatırlar.

Hangi Cookie'yi Kabul Eedeceğinize Nasıl karar Vereceksiniz?

Tarayıcınızdan tanımlama yaparak, hangi cookileri kabul edeceğinizi belirlersiniz. Hepsini otomatik kabul edebilir ya da cookie önerildiğinde sizi uyarmasını isteyebilirsiniz. Aşağıda bu tanımlamayı nasıl yapabileceğinizi göreceksiniz.

Internet Explorer 6.0 kullanıyorsanız

1. Menüden Tools / Araçlar seçeneğini tıklayın
2. Internet Options
3. Privacy / Gizlilik
4. Default ayar medium (orta düzey) dir. Siz seçiminizi isteiğinize göre yapın
5. Advanced (İleri düzey) seçerseniz, cookie bazında seçim de yapabilirsiniz.

Netscape Communicator 4.0 kullanıyorsanız

1. Task Bar'dan Edit seçeneğini tıklayın
2. Preferences
3. Advanced
4. "Cookies" yazılı kutucukta istediğiniz ayarı seçin

Kabul Ettiğiniz Cookie'leri Nasıl Görebilirsiniz?

Internet Explorer 6.0 kullanıyorsanız

1. Menüden Tools / Araçlar seçeneğini tıklayın
2. Internet Options
3. General / Genel bölümü altına bakın
4. Settings / Ayarlar seçin
5. Dosyaları Göster / View Files Seçeneğini tıklayın. Bilgisayarınızda kayıtlı Cookie'leri göreceksiniz.

Netscape Communicator 4.0 kullanıyorsanız

Netscape tüm cookie'leri, hard diskinizdeki tek bir dosya içinde toplar. Dosyanın ismi Cookie.txt'dir.

Cookie'nin İçindeki Kod'u Nasıl Görebilirsiniz?

Mouse'unuzu Cookie üzerine getirerek tıklayınız. Cookie'nin içinde kısa bir dizi yazı ve rakam göreceksiniz. Rakamlar sizi tanımlayan numaradır ve ancak cookie'yi veren web sunucuya bir anlam ifade eder.

Antivirusler Hakkında Bilmedikleriniz

Merhaba;

Bu yazımda antivirüs programlarının virüs & trojan vs...' ları nasıl yakaladığından bahsetmek istiyorum. Buna neden de bazı site ve forumlarda insanların başkalarına yanlış bilgiler vermeleridir. Genellikle bu konu hakkındaki yanlış bilgiler de en çok "Hangi AV (Anti Virüs Programı) en iyisi?" tarzındaki forum başlıklarında dolaşıyor.

Bazı kimseler diyor ki şu AV daha iyi. Bak bu şu şu virüsü-trojanı hemen yakaladı diğer AV yakalayamıyor. Aslında burada pek de yanlış bir durum yok gibi görünse de, en iyisi AV'lerin virüsleri nasıl yakaladığını öğrendikten sonra yorum yapmak. Yoksa ağzı olan konuşuyor gibi bir durum çıkıyor ortaya.

Peki AV'ler Virüsleri Nasıl Yakalıyor?

Şimdi öncelikle hiçbir AV sizin yeni yazmış olduğunuz bir virüsü, trojanı vs... yakalayamaz (tespit edemez). Çünkü AV'ler bir programın ne yaptığına, yapısına bakarak onun virüs olduğuna karar vermez (ascii formatında kodlanan bazı zararlı scriptler dışında)! Peki nasıl tanırlar? Öncelikle bir AV firması şüpheli dosya hakkında en az iki rapor almalıdır. Daha sonra ise bu dosyanın analizi yapılır ve bir virüs & trojan vs... olduğuna karar verilince, dosyadan hex imza alınır ve virüs veritabanlarına işlenir. AV programınız da tarama sırasında makinanızdaki programlarda bu veritabanına işlenen hex imzayı arar ve eşitlik sağlandığında dosyanın infecte bir dosya olduğuna karar verilir.

Yani program ister bilgisayara zarar veren bir virüs olsun, ister bilgisayarınızda arka kapılar (backdoor) açarak dışarıya veri sızdıran bir trojan & worm olsun, bunlar bir Av firmasına rapor edilip, firma tarafından analiz edilip veritabanlarına dahil edilene kadar asla bir AV tarafından tanınamaz. Fakat yukarıda da bahsettiğim gibi bazı zararlı scriptler ascii formatında (düz yazı - derlenmemiş) olduğundan AV bu dosyaya bakarak bazı belli rutinlere göre dosyanın şüpheli bir dosya olduğuna karar verebilir.

Bunun doğruluğuna inanmak için bilgisayara format atan bir program yazın ya da trojan serverı tarzı makinada port açan (sayısı önemli değil; ister 1 olsun ister100 olsun) ve dinlenen komutlara göre dışarıya bilgi sızdıran & makinada zararlı komutlar işleten bir program yazın. Bu programı herhangi bir AV'ye tarattığınızda göreceksiniz ki AV bu programı bir virüs vs... olarak tanıyamayacaktır.

Hadi şimdi biz de bir virüsden hex imza alalım :-))

Ben örnek olarak Lorez virüsünden bir hex imza aldım:

58 FF E0 8B 85 57 17 40 00
50 B9 78 56 34 12 FF 95 E6
16 40 00 89 85 53 17 40 00
83 F8 FF 75 01 C3 6A 20 8B

Şimdi örneğin C'de bir program yazdığımızı varsayalım ve Lorez virüsünden aldığımız bu hex imzayı da programda kullandığımızı düşünelim. Yine örnek vermek gerekirse BYTE tipinde bir diziye kodumuzu yerleştirelim:

BYTE lorez_virusu_imzasi[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,
0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6,
0x16,0x40,0x00,0x89,0x85,0x53,0x17,0x40,0x00,
0x83,0xF8,0xFF,0x75,0x01,0xC3,0x6A,0x20,0x8B};

Bu kodu yazdığınız bir programa dahil edip windows altında derleyip kozan.exe diye bir dosya oluşturduğunuzu varsayalım. Büyük ihtimalle AV programınız kozan.exe dosyasına Win95.Lorez (ya da kendi veritabanlarına nasıl bir isimle kaydetmişlerse) virüsü bulaşmış diye bir uyarı verecektir. Ama siz bunun zararsız bir kod olduğunu anlamışsınızdır sanırım :-))

İşte AV yazılımları da aynı bu şekilde kendilerine rapor edilen dosyaları incelerler ve hex imza veritabanlar oluştururlar. Daha sonra da tarama işlemlerinde dosyalarda bu veritabanındaki imzaları ararlar ve dosyanın infecte olup olmadığına karar vererek disinfecte, silme, karantina vs işlemleri gerçekleştirirler.

Şimdi genel olarak bir AV'nin nasıl çalıştığını öğrenmiş olduk. Peki hangi AV'nin daha iyi olduğuna nasıl karar vereceğiz? Aslında her AV bu kısımda aynı işlemleri yaptığından fark burda yok aslında. Genel olarak AV'lerde sistemi aşırı yavaşlatmaması (Norton yüklü makinanın sürünmesi gibi) ve e-posta denetleme vs gibi ek özellikler ve en az sistem harcayarak en çok fonksiyonu en iyi şekilde başaran bir AV'yi iyi olarak nitelemek mümkün.

Ek olarak kendimce iyi bir AV'ye örnek vermem gerekirse Kaspersky AV'yi rahatlıkla söyleyebilirim. Bu yazılımın diğer AV'lere göre bir artısı daha var ki; o da bu virüslerden vs... alınıp veritabanına işlenen hex imzalara ek olarak, dosyayı birçok exe packer ile ayrı ayrı packlenmiş hallerinden de hex imza alarak veritabanına işlemeleri. Böylece örneğin tanınan bir trojanı (eğer packlenmişse unpack ederek başka bir packerla) packleyerek diğer AV'lere karşı tanınmaz hale getirseniz bile KAV bunu daha önceden kendisi de deneyip vertabanına eklemiş olabileceğinden, diğer AV'ler tanımazken KAV bu infecte dosyayı yine tanıyabilir.

Umarım artık bu konuda insanlara yanlış bilgiler verilmez. Belki önümüzdeki yazılarda bir infecte dosyanın AV'lere karşı manuel olarak nasıl tanınmaz hale getirileceği hakkında bir makale de yazabilirim.

Görüşmek üzere...

Proxy Adres Kullanmak ve Değiştirmek

1. Linkler bölümünden proxy sitelerine girip çalışan bir proxy bulun.

2. http://www.whatismyip.com adresine girerek normal ip adresinize bakın.

3. Internet Exolorer üst menüsünden --> Araçlar --> Internet seçenekleri --> Bağlantılar --> Yerel Ağ Ayarlarını açın --> Yerel ağınız için bir proxy sunucusu kullanın kutusunu işaretleyin --> bulduğunuz proxy numarasını ve portunu yazıp onaylayın.Tekrardan proxytest sayfasina dönerek sayfayı yenileyin eğer bulduğunuz veya denediğiniz proxy çalışıyorsa ip adresiniz değişecektir.

Not: Eğer Proxytest sayfasında denediğiniz proxy numarasınla birlikte gerçek ip numaranızı görüyorsanız bulduğunuz proxy gerçek ip adresinizi gizlemiyor anlamına gelir. Başka bir proxy bulup tekrar deneyin.

Syn Flood Block

Eğer internetten bilgisayarınıza devamlı olarak SYN paketleri geliyorsa ve saldırıya maruz kalıyorsanız.Bu saldırıları engellemeniz mümkün.

1. Başlat / Çalıştır / regedit yazın

2. HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services / Tcpip / Parameters yolunu takip edin.

3. Açılan pencerede boşluğa sağ tıklayın ve DWORD değeri oluşturun isim olarak SynAttackProtect yazın. Çift tıklayarak açın ve 2 değerini verin.

4. Aynı sayfada TcpMaxHalfOpen ve TcpMaxHalfOpenRetried DWORD değerlerini oluşturun.

TcpMaxHalfOpen ' ı açarak değer olarak 100 yazın.

TcpMaxHalfOpenRetried ' ı açarak değer olarak 80 yazın.

5. Ayarların kalıcı olması için bilgisayarınızı yeniden başlatın.

Kaynaklar:

http://www.securityfocus.com/infocus/1729

http://support.microsoft.com/default.aspx?scid=kb;EN-US;315669

Syn Flood Nedir ?

Syn Flood, 3 adımdan oluşan bir D.o.S (Denial of Service) atak çeşitidir.

İlk önce bu 3 adım'ın ne olduğuna bir göz atalım.

1. adım : İstemci makine,sunucu makinenin bir portuna bağlanmak için sunucu'ya bir bağlantı talebinde bulunur.

2. adım : Sunucu makine bu isteği -eğer koşullar uyuyor ise- kabul eder ve istemci makineye bağlantı talebinin onayladığını belirtir.

3. adım : İstemci,sunucuya herşeyin tamam olduğunu belirtir ve bağlantı başlar.

Bağlantı başladıktan sonra,veriler iki makine arasında eşzamanlı olarak gidip gelir.Bu çeşit bağlantıya "full-duplex" iletişim denilir.Full-duplex iletişim sayesinde veri alış verişi iki makine arasında eş zamanlı olur.

- Buraya kadar herşey iyi peki SyN Flood nedir ?

Ok. Az önce olayın üzerinden basit bir geçiş yaptık.Gelin az önceki o 3 adım süresince neler olduğuna bakalım.

1. adım : İstemci,sunucu makinenin herhangi bir servisine bağlanmak istiyor telnet, mail, web, news..etc.. Ve sunucu makineye içinde kendisi hakkında bilgi bulunan bir SYN (Synchronize) paketi yolluyor.

2. adım : Sunucu makine bu SYN paketini alıyor,ve istemci makineye gönderilen SYN'i aldığını belirten ACK (Acknowledgement) ile yine kendi hakkında bilgi içeren SYN paketini beraber yolluyor.

3. adım : İstemci SYN+ACK paketini alıyor ve sunucuya ACK paketi ile bunu haber veriyor.Ve iki makine arasındaki bağlantı başlıyor.

Şimdiye kadar anlatılan şeyler istemci ile sunucu makine arasındaki normal bir bağlantıdan başka birşey değildi.Yani ortada herhangi bir saldırı yoktu.Herşey normal idi.

Şimdide olayın saldırı yönüne bakacağız.

Diyelim ki, ilk iki adım gerçekleşti.Yani istemci bir SYN,sunucuda buna yanıt olarak SYN+ACK paketlerini yolladı ve ACK paketini beklemeye koyuldu.Buraya kadar herşey güzel.Peki,ACK paketi gelmez ise ne olurdu? ACK paketi gelmez ise bu bağlantı full-duplex değil "yarı-açık" bir bağlantı olurdu.Ve bu bağlantı çeşidi pek içaçıcı değildir.

Sunucu SYN+ACK'yi yolladıktan sonra ACK için bekler.Fakat dediğim gibi istemci ACK paketini yollamaz ise işler çıkmaza girer.Sunucu beklemeyi bırakmaz.Sürekli bekler..

Sunucu ACK için beklerken,karşıya ACK yerine bir bağlantı talebinde daha bulunduğumuzu varsayalım.Ve yine 3. adım'ı gerçekleştirmeyelim.Yani son ACK'yi yollamayalım.Hatta bunu bir daha yapalım.. Bir daha .. Bir daha.. Ve "flood" şekline getirelim bunu :) (Eminim herkes flood'un anlamını biliyordur,IRC de çoğu zaman kick+ban sebebi olur.)

Sunucu açtığımız her bağlantının son ACK paketini bekliyecektir.Açtığımız her bağlantı hakkında bilgiyi hafızaya yerleştirir.Ama bir süre olduktan sonra artık bu bilgi boyut olarak bayağı büyümüştür.Yani kısaca bu data,hafızada taşma meydana getirir.

Artık bir süre sonra bütün hafıza dolacaktır.Ve sunucu dışarıdan gelecek hiçbir bağlantı talebine yanıt veremeyecektir.Normalde sistem bağlantı için ACK paketi beklerken,bu paketi bir süre içinde alamazsa bağlantıyı iptal eder.Fakat saldırı sistemden daha hızlı ve spoofed IP'ler ile sürdülürse,ne kadar bağlantı iptal edilirse edilsin,yenileri eklenecektir.

- Hasar..
Bu şekil bir saldırı sonucunda,sunucuda bulunan TCP tabanlı servisler saldırı altında bulunduğu sürece çalışmayacaktır.

- Çözüm..
Şu günkü IP protokol'ü teknolojisine göre genel olarak bir çözüm kabul edilmiş degil.Ama teknolojinin bugün yarattığı routerlar,basit bir konfigürasyon sayesinde bu saldırıyı engelleyebiliyorlar.Ayrıca yeni kerneller bu saldırıdan en az şekilde etkilenebilecek şekildeler.

- Sistemime SYN Flood yapıldığını nasıl anlarım?
Sisteminize taki bir Spoofed IP paketi girip içerde dolaşana dek olayların farkına varmazsınız. Siz dışarıya bağlantı yapabilirsiniz,fakat problem dışarıdan gelen bağlantıların sisteminizce kabul edilmemesidir.

Sisteminize saldırı yapıldığını anlamak için Ağ Trafiğini kontrol etmelisiniz.

Tcp / Ip Nedir ?

TCP / IP MODELİ
  • Application Layer : OSI de 7.6. ve 5. katmanlara karşılık gelir.
  • Transport Layer : OSI de 4. katman olan Transport katmanına karşılık gelir.
  • Internet Layer : OSI de 3. katmana karşılık gelir.
  • Network Access : OSI de 1. ve 2. katmanlara karşılık gelir.
Bu katmanlarda sırasıyla şu işlemler yapılmaktadır.
  • FTP : File Transfer Protocol
  • HTTP : Hypertext Transfer Protocol
  • SMTP : Simple Mail Transfer Protocol
  • DNS : Domain Name System
  • TFTP : Trivial File Transfer Protocol (Konfigürasyon dosyaları alıp gönderir.)
  • TCP : Transmission Control Protocol
  • UDP : User Datagram Protocol
TCP/IP ile OSI'nin KARŞILAŞTIRILMASI

TCP/IP Modelinde Application ve Transport Layer’lar Protocol’leri oluşturmaktadırlar. Internet ve Network Access Layer’lar ise Network’ü oluşturur.

OSI Modelinde ise; Application, Presentation ve Session Layer’lar Application Layer yani Uygulama katmanı olarak bilinirler. Diğer 4 katman olan Transport, Network, Data Link ve Physical ise Data Flow Layet yani Data İletim, akım katmanlarıdır.

TCP / IP

1. TCP/IP
1.1- Nedir TCP/IP
1.2- TCP/IP'nin Isleyisi
1.2.1 Protokoller
Ag seviyesi protokolleri
--------------------------------

TCP / IP : Internetin belkemigi olan TCP/IP ile ilgili bazi temel bilgileri bilmeden ne dönüp bittigini anlamak zordur. Bu yüzden internet savaslari konusunda ayrintiya girmeden önce kisaca TCP/IP protokolüne deginmek istedim. Bu konuda kisaca TCP/IP'nin ne oldugunu ve nasil çalistigini görecegiz. Burda verilen bilgiler temel düzeydedir ve ileride görecegimiz konulari daha kolay anlamaniza yardimci olacaktir.

1.1- Nedir TCP/IP

TCP/IP internette veri transferi için kullanilan iki protokolü temsil eder. Bunlar Transmission Control Protokol (TCP) ve Internet Protocol (IP). Ve bu protokoller de daha genis olan TCP/IP protokol grubuna aittir. TCP/IP'de bulunan protokoller internette veri transferi için kullanilir ve internette kullanilan her türlü servisi saglarlar. Bunlarin arasinda elektronik posta transferi, dosya transferi, haber gruplari, WWW erisimi gibi servisler TCP/IP sayesinde kullanicilara sunulmaktadir.

TCP/IP protocol grubunu ag seviyesi protokolleri ve uygulama seviyesi protokolleri olarak iki gruba ayirabiliriz.

Ag seviyesindeki protokoller genellikle kullaniciya görünmeden sistemin alt seviyelerinde çalisirlar. Örnek olarak IP protokolü kullaniciyla uzak bir makine arasindaki paket iletimini saglar. IP ag seviyesinde diger protokollerle etkilesimli olarak çalisarak paketlerin hedef adrese gönderilmesini saglar. Çesitli ag araçlari kullanmadiginiz sürece sistemdeki IP trafigini ve neler dönüp bittigini anlayamazsiniz. Bu araçlar agda gidip gelen IP paketlerini yakalayabilen sniffer'lardir. Sniffer'lar konusuna ileriki konularda ayrintiyla deginecegiz.

Uygulama seviyesi protokolleri sistemde daha üst düzeyde çalisirlar ve kullaniciya görünürler. Örnek olarak Dosya Transfer Protokolünü (FTP) verebiliriz. Kullanici istedigi bir bilgisayara baglanti isteginde bulunur ve baglanti yapildiktan sonra dosya transferi islemini gerçeklestirir. Ve bu karsilikli transfer islemleri kullaniciya belli bir seviyede görünür, giden gelen byte sayisi, meydana gelen hata mesajlari... gibi.

Kisaca TCP/IP internette veri transferini saglayan protokoller grubudur.

Burda TCP/IP'nin tarihçesine girmeyecegim söyleyecegim tek sey TCP/IP diger protokollere göre çok fazla avantaja sahip oldugu için çok kisa sürede en yaygin kullanilan protokol haline gelmistir. Artik internetin belkemigi haline gelen TCP/IP herhalde üzerinde en çok çalisilan ag protokolüdür.

Günümüzde artik TCP/IP sadece internet degil bir çok alanda kullaniliyor. Intranet'ler mesela TCP/IP kullanilarak olusturulmaktadir. Bu tip bir sistemde TCP/IP'yi kullanmak diger protokollere göre avantajlar içerir. En basitinden TCP/IP hemen hemen her türlü sistemde desteklendigi için çok kolay bir sekilde heterojen sistemler kurulabilir. Iste internette tamamen heterojen bir sistem oldugu için TCP/IP en uygun protokoldür.

TCP/IP protokolü günümüzde artik hemen hemen tüm isletim sistemlerinde desteklenmektedir. UNIX, DOS (Piper/IP ile), Windows (TCPMAN ile), Windows 95/98/2000/Me, Windows NT, Machintosh (MacTCP), OS/2, AS/400 OS/400 sistemlerinde TCP/IP destegi gelmektedir. Tabi her sistemin TCP/IP gerçeklemesi farkli oldugundan servis kalitesi de farklilklar gösterebilir. Ancak temel olarak sunulan servisler aynidir ve birbiriyle uyumlu olarak çalisirlar.

1.2- TCP/IP'nin Isleyisi

TCP/IP protokol yiginini kullanarak çalisir. (TCP/IP Stack) Bu yigin iki makine arasindaki veri transferini saglamak için gereken tüm protokollerin birlesmis bir halidir. Bu yigin kisaca en üstte "uygulama seviyesi", daha sonra "transport seviyesi", "ag seviyesi", "datalink seviyesi" ve "fiziksel seviye"'lerden meydana gelir. Bu seviyelerde en üstte yakin olan seviyeler kullaniciya daha yakindir, alta yakin olan seviyeler ise kullanicidan habersiz olarak çalisan seviyelerdir. Örnek olarak en üst düzey olan uygulama seviyesinde FTP, Telnet gibi programlari örnek verebiliriz. Bu programlari çalistirdiginizda diger sisteme bir baglanti kurulur ve veri transferi yapilir. Siz sadece yaptiginiz islemlerle ilgili sonuçlari ve olaylari görürsünüz ancak bir veri gönderdiginizde bu veri ilk önce sizin bilgisayarinizdaki bu TCP/IP protokol yigininda asagiya dogru inmek zorundadir. Yani uygulama seviyesinden, ftp'de verdiginiz bir komut mesela, transport seviyesine, ordan ag seviyesine ve en sonunda fiziksel seviyeye iner ve artik diger bilgisayara ulasmak üzere internet aginda yada yerel bir agda uzun yolculuguna baslar. Gidecegi makinenin fiziksel seviyesine ulasana kadar veriler genellikle bir yada daha fazla ag geçidinden geçerler. (tracert komutu belirli bir hedefe hangi geçitlerden geçerek gidilecegini veren komuttur) En sonunda diger makineye ulasinca yine uygulama seviyesine ulasincaya kadar, bu sefer karsida çalisan ftp sunucusuna, yine bu TCP/IP protokol seviyelerini bir bir yukari dogru asmak zorundadir.

Bu arada bu seviyelere ne gerek var diyebilirsiniz. Ancak bu seviyelerin her biri degisik bir görevi üstlenmektedir. Bir seviye fiziksel olarak verilerin gönderilmesi isini yaparken baska bir seviye verileri ufak paket dedigimiz parçaciklara bölerek iletisim isini üstlenir, baska bir seviye ise iletisimde meydana gelebilecek hatalari tespit eder. Bu sekilde tüm seviyeler bir uyum içinde çalisirsar ve her seviye karsi tarafta bulunan yine kendi seviyesindeki protokolle karsilikli iletisim içindedir. Daha yukarida yada daha asagidaki bir seviyede ne gibi bir isin yapildigina ve sonuçlariyla ilgilenmez.

1.2.1 Protokoller

Kisaca TCP/IP protokol yigininin nasil çalistigini gördük ve simdi kullanilan protokollere bir göz atalim.

Ag seviyesi protokolleri

Ag seviyesi protokolleri veri transferi islemini kullanicidan gizli olarak yaparlar ve bazi ag araçlari kullanilmadan farkedilemezler. Bu araçlar Sniffer'lardir. Sniffer bir cihaz yada bir yazilim olabilir ve ag üzerindeki tüm veri iletisimini izlemeye yarar. Bu araçlarin kullanilis maksadi agda meydana gelebilecek hatalari tespit etmek ve çözmektir. Ancak ileride de görecegimiz gibi sniffer'lar da hacker ve cracker'lar tarafindan kullanilan ölümcül makineler haline gelmistir.

Ag protokolleri arasinda önemli olarak Adres Çözümleme Protokolü (ARP), Internet Mesaj Kontrol Protokolü (ICMP), Internet Protokolü (IP) ve Transfer Kontrol Protokolü (TCP) protokollerini verebiliriz.

Kisaca bu protokollerin ne is yaptigina bir bakalim:

ARP protokolü: internet adreslerini fiziksel adrese dönüstürmek için kullanilir. Bir paketin bir bilgisayardan çiktiginda nereye gidecegini IP numarasi degil gidecegi bilgisayarin fiziksel adresi belirler. Iste bu adreste paketin gidecegi ip numarasi kullanilarak elde edilir. Ve bu islemden sonra paket hedef ip adresine sahip bilgisayara gitmek için gerekli yönlendirmelerle yolculuguna baslar. Bilgisayara takili olan ethernet kartlarinin bir ethernet adresi vardir. Ve bu adres IP adresinden farklidir. Bir paket makineden çiktigi anda gidecegi adres diger bir makinenin ag kartidir ve bu ag karti ile IP numarasi arasinda bir bag yoktur. Paket bu karta gidebilmesi için kartin fiziksel numarasini bilmek durumundadir. ARP adres çözümlemek istedigi zaman tüm aga bir ARP istek mesaji gönderir ve bu IP adresini gören yada bu IP adresine giden yol üzerinde bulunan makine bu istege cevap verir ve kendi fiziksel adresini gönderir. ARP isteginde bulunan makine bu adresi alarak verileri artik bu makineye gönderir.

Internet mesaj kontrol protokolü: ICMP protokolü iki yada daha fazla bilgisayar arasinda veri transferi sirasinda meydana gelebilecek hatalari ve kontrol mesajlarini idare eder. Bu nedenle ICMP ag problemlerini tespit etmek için çok önemli bir protokoldür. ICMP protokolü kullanilarak elde edebilecegimiz bazi sorunlar: bir bilgisayarin ayakta olup olmadigini kontrol etmek, ag geçitlerinin tikanik olup olmadigini kontrol etmek gibi...

ICMP protokolünde bilinen en yaygin ag araci ping'dir. ping programi karsidaki bir bilgisayarin çalisir durumda olup olmadigini kontrol etmek için kullanilir. Çalisma mantigi çok basittir, karsi bilgisayara echo paketleri gönderir ve geri gelmesini bekler. Eger paketler geri gelmezse ping hata mesaji verir ve karsi bilgisayarin aga bagli ve çalisir durumda olmadigi anlasilir.

Internet protokolü: IP protokolü TCP/IP protokol yigininda ag seviyesine aittir ve tüm TCP/IP protokol takiminin paket iletimi islemini saglar. Kisacasi IP verilerin internetteki iletisiminin kalbini olusturan protokoldür. IP paketi çesitli kisimlardan olusmaktadir. Paketin en basinda bir paket basligi vardir ve gönderilecek olan veriyle ilgili olarak gidecegi adres, gönderen adres gibi bilgileri içermektedir. Paketin geri kalan kismi ise gönderilecek veriyi içerir.

IP paketleriyle ilgili en ilginç sey bu paketler yolculugu sirasinda daha ufak paket boyutlari kullanan aglara rast geldiginde daha küçük parçalara bölünebilmesi ve karsi tarafta tekrar birlestirilmesidir.

Transfer kontrol protokolü: TCP prtokolü interntette kullanilan ana protokoldür. Dosya transferi ve uzak oturumlar gibi kritik isleri saglar. TCP diger protokollerden farklidir. Güvensiz bir iletisimm ortaminda verilerin ayni sekilde hedefe ulasacagindan emin olamazsiniz. Ancak TCP gönderilen verilerin gönderildigi sirayla karsi tarafa ulasmasini saglayarak güvenli veri iletimini saglar.

TCP iki makine arasinda kurulan sanal bir baglanti üzerinden çalisir. Üç kisimli bir islemden olusur bu baglanti ve three-part handshake olarak bilinir. (TCP/IP three way handshake) TCP/IP üzerinde yapilan bazi saldiri tekniklerini iyi anlayabilmek için TCP'nin çalisma mantigini iyi anlamak gerekmektedir. Bu nedenle simdi bu baglantinin nasil olduguna bir bakalim:

Three-way handshake isleminde öncelikle istemci sunucuya port numarasiyla birlikte bir baglanti istegi gönderir. Istegi alan sunucu bu istege bir onay gönderir. En sonunda da istemci makine sunucuya bir onay gönderir ve baglanti saglanmis olur. Baglanti yapildiktan sonra veri akisi her iki yönde de yapilabilmektedir. Buna genellikle full-duplex iletisim denmektedir.

TCP ayni zamanda hata kontrol mekanizmasi da sagliyor. Gönderilen her veri blogu için bir numara üretilmektedir. Ve karsilikli iki makine de bu numarayi kullanarak transfer edilen bloklari tanimaktadirlar. Basarili olarak gönderilen her blok için alici makine gönderici makineye bir onay mesaji gönderir. Ancak transfer sirasinda hata olursa alici makine ya hata mesajlari alir yada hiç bir mesaj almaz. Hata olustugu durumlarda, oturum kapanmadigi sürece, veriler tekrar gönderilir.

TCP prtokolü ile verinin iki makine arasinda nasil transfer edildigini gördük. Simdi istemcinin isteginin karsi tarafa ulastiginda ne olup bittigine bakalim. Bir makine baska bir makineye baglanti istegi gönderdigi zaman belli bir hedef adresi belirtir. Bu adres bir IP adresi ve fiziksel adrestir. Ancak sadece bu adreste yeterli degildir, istemci karsi makinede hangi uygulamayla konusmak istedigini de belirtmek durumundadir. Örnek olarak siz bir sayfaya baglanmak istediginizde URL adres kismina www.tcpsecurity.com adresini yazip baglan dediginiz anda browser bu adresteki bilgisayara bir baglanti istegi gönderir ve o makinede bulunan HTTP uygulamasiyla konusmak istedigini de belirtir. Simdi bu HTTP isteginizin karsi tarafa gittigi zaman neler olduguna bakalim.

inetd:

inetd tüm daemon'larin anasidir. Daemon'lar sistemde devamli olarak çalisan ve diger prosesleri dinleyen programlardir. Microsoft DOS platformundaki terminate and stay resident TSR programlarina benzerler. (TSR genellikle virüsler tarafindan çok kullanilan bir yöntemdi. Virüs kodunun sürekli hafizada aktif olarak kalabilmesi için TSR metodu kullaniliyordu.) Daemonlar sistem açik oldugu sürece belli bir olayi dinlemek için sürekli çalisir durumdadirlar. Iiste süper sunucu olarak ta çagrilan inetd tüm bu daemonlarin büyük büyük babasidir.

Tahmin edebileceginiz gibi bir sistemde ne kadar çok daemon varsa o kadar çok sistem kaynaklari azalacaktir. Iste her türlü islemi gerçeklestirmek için bir daemonu her zaman çalisir durumda bekletmek ve sistem kaynaklarini yemek yerine bir tane daemon yazmislar. Bu da inetd daemonudur. inetd tüm ag isteklerini dinler ve bir istek geldiginde istege bakarak hangi servisle ilgili olduguna karar verir. Daha sonra da ilgili servisi sunan uygulamayi yükleyerek istegi bu uygulamaya yönlendirir. Örnek olarak bir FTP istegi geldigi zaman inetd FTP sunucusunu baslatir ve istege cevap vermesini ister ve kendisi de baska isteklere cevap vermek üzere dinlemeye devam eder.

inetd sadece UNIX üzerinde çalisan bir uygulama degildir. Windows ortaminda çalisan sürümlerini de piyasada bulmak mümkündür. Hummingbird'ün Exceed ürünü Windows ve OS/2 platformlari için inetd'yi sunmaktadir.

inetd programi normal olarak sistem açildiginda çalismaya baslar ve sistem yöneticisi tarafindan kapatilmadigi sürece sistem kapatilana kadar da çalismaya devam eder. inetd programinin çalismasi /etc/inetd.conf konfigürasyon dosyasi ile tanimlanir. inetd'nin hangi servisleri sunacagi bu dosyada belirtilir. Bu servisler FTP, Telnet, SMTP, Finger, Netstat.. gibi servislerdir.

portlar:

TCP/IP ortaminda programlarin çalistirilmasi ve servisler genellikle istemci-sunucu tabanlidir. Her baglanti istegi için inetd bir sunucu çalistirir ve sunucu da istemciyle haberlesmeye baslar.

Bu islemi gerçeklestirebilmek için her servise (FTP, Telnet.. gibi ) bir numara verilmistir. Iste istemciler bu numaralari kullanarak karsi bilgisayardaki hangi uygulamayla konusacagini belirtir. Bu numaralar port numaralari olarak adlandirilir. Bir internet sunucusunda binlerce port olabilir. Ancak etkin bir kullanim için iyi bilinen ve her zaman kullanilan servislere standart port numaralari verilmistir. Sistem yöneticisi istedigi servisi istedigi port numarasina baglayabilir ancak normal olarak iyi bilinen port numaralari (well-known ports) kullanmak akillica olacaktir. Örnek olarak asagida bazi servislerin standart port numaralari verilmistir:

  • Dosya Transfer Protokolü (FTP) 21
  • Telnet 23
  • Simple mail transfer protokol (SMTP) 25
  • Gopher 70
  • Finger 79
  • HTTP 80
  • NNTP 119

Simdi kisaca bu uygulamalara bir göz atalim:

Telnet: Telnet protokolü RFC 854 dökümaninda anlatilmistir. Telnet uzak sistemlere login olmak ve sistemde komut çalistirmak için kullanilir. Ankarada bulunan bir kullanici Istanbulda bulunan bir makineye telnet yaparak sanki makinenin basindaymis gibi komutlar çalistirabilir. Bir telnet oturumu açmak için UNIX komut satirindan yada DOS komut satirindan:

#telnet sunucu_adi

Komutu girilir ve eger bu sunucuda telnet sunucusu çalisiyorsa kullanicinin karsisina login ekrani gelecektir. Bu ekranda kullanici adi ve sifresi girildikten sonra sisteme oturum açilacaktir. Telnet protokolü text tabanli olup UNIX sisteminde ve çogu sistemde dahili olarak gelmektedir.

Dosya Transfer Protokolü: FTP protokolü RFC 0765'de tanimlanmistir ve protokol spesifikasyonu RFC 114 dökümaninda anlatilmistir. FTP internette standart olarak dosya transferi için gelistirilmis bir protokoldür. Uygun ftp istemcileri kullanilarak ftp sunucularindan yararlanilabilir. UNIX ve Windows platformlarinda standart komut satiri ftp istemcisinin yani sira, Cute-FTP (Windows), FTP Explorer (Windows), FTPTool (UNIX) gibi üçüncü parti araçlari da vardir.

FTP istemcileri karsi tarafta bir FTP sunucusuyla konusurlar. Iste karsida istemci isteklerine cevap veren standart ftp daemonu FTPD'dir. Bu daemon UNIX sistemlerinde default olarak gelmektedir. Ancak diger sistemlerde de kullanilabilecek ftp sunuculari mevcuttur. Windows'ta WFTP, Frontpage, WAR FTP Daemon, NT'de Microsoft Internet Information Server, Machintosh'ta FTPD örnek olarak verilebilir.

Basit e-posta transfer protokolü: SMTP protokolü RFC 821 dökümaninda tanimlanmistir. SMTP protokolünün amaci etkili ve güvenli bir sekilde eposta iletimini saglamaktir. Kullanici SMTP destekleyen bir istemciyle SMTP sunucusuna bir istek gönderir ve iki yönlü bir baglanti kurulur. Baglanti kurulduktan sonra eger sunucu izin veriyorsa istemci MAIL komutlari göndererek eposta gönderme islemini yapabilir. (Internette kullandigimiz Netscape ve Explorer gibi browserlar genellikle SMTP sunucularini kullanarak mail gönderirler. Browser ilk kuruldugunda kullanici posta ayarlarinda verdigimiz SMTP sunucusunun adi mail göndermek için kullanilmaktadir)

SMTP'nin bu çok basit yapisinin yani sira bir çok güvenlik açiginin kaynagi olmustur. Bunun nedeni ise SMTP'nin çok fazla parametresinin bulunmasidir. Yanlis konfigürasyonlar güvenlik açiklarinin nedeni olmaktadir. SMTP sunucusu UNIX sistemlerinde default olarak gelmektedir.

Gopher: Gopher servisi dagitilmis döküman paylasim sistemidir. Dökümanlar ve servisler sunucularda saklaniyor ve Gopher istemci programi kullaniciya bu dökümanlara bir hiyerarsik sekilde ulasma imkani sunuyor. Dosya ve dizin yapisi dökümanlari yerlestirme ve kullanma için uygun oldugu için daha çok bu yapiya benzetilerek tasarlanmis Gopher. Günümüzde HTTP'nin akil almaz gelisimi ve kullanim yayginligi nedeniyle bu servis artik kullanilmaz hale gelmistir. Gopher ile ilgili ayrintili bilgi RFC 1436 dökümanindan edinilebilir.

Hipertext transfer protokolü: Internette kullanicilarin sörf yapmasini saglayan HTTP herhalde tüm protokoller içinde en ünlüsüdür. HTTP protokolü internetin kullanimini tamamen degistiren ve herkes tarafindan kullanilabilir bir hale getirmistir. HTTP protokolü de Gopher mantigiyla çalisir. Istem ve cevap seklinde bir çalisma mantigi vardir. Telnet gibi uygulamalar istemcinin login olmasini ve islemler devam ettigi sürece de bagli kalmasini gerektirmektedir. Ancak Gopher ve HTTPde böyle bir zorunluluk yoktur. Istemci istedigi zaman istedigi istegi gönderir ve sunucuda bu istege cevap verir. Bunu internet browserdan görmek mümkündür. Siz bir adresi ziyaret ederken aslinda o siteye bagli degilsinizdir o siteden bazi dökümanlar indirmis ve bunlari yerel olarak görüyorsunuzdur. Ancak bir linke tikladiginizda o sunucuyla baglanti kurulur ve bilgiler transfer eilir bu islemin isleyisini ekrandaki durum çubugundan gözleyebilirsiniz.

Tabi HTTP sunucularina baglanmak için HTTP protokolünü ögrenip bir istemci programi yazmadiginiz sürece üçüncü parti bir HTTP istemcisi kullanmak zorundasiniz. Bunlarin arasinda Windows için, Netscape, Microsoft Internet Explorer, Opera, Mosaic, WebSurfer, UNIX için Xmosaic, Netscape, Lynx, Arena, OS/2 için Web Explorer, Netscape sayilabilir.

HTTP sunucusu artik hemen hemen tüm isletim sistemlerinde mevcuttur. Kisisel HTTP sunucularindan kurumsal sunuculara kadar genis bir yelpazede ürünler ortaya çikmistir. Örnek olarak, Windows için OmniHTTPD, Microsoft Personal Web Server, Website, Windows NT için HTTPS, IIS, Alibaba, Espanade, Expresso, UNIX için HTTPD, Apache, OS/2 için GoServe, OS2HTTPD, IBM Internet Connection Server verilebilir.

Network News transfer protokolü : NNTP en çok kullanilan protokollerden biridir. USENET olarak bilinen haber servisine erisim saglar. NNTP RFC 977 dökümaninda tanimlanmistir. NNTP protokolünün çalismasi SMTP protokolüne benzer, sunucuya gönderilen komutlar anlasilabilir bir sekildedir.

Simdi artik TCP/IP servis ve protokol ailesini ögrendik ve ayni zamanda bazi uygulama düzeyi protokolleri inceledik. Burada degindigimiz protokoller internette siklikla kullanilan protokollerdir. Ancak gerçekte bunlar buzdaginin görünen parçasidir sadece, burda deginmedigimiz daha yüzlerce protokol mevcuttur.

Kisaca TCP/IP tek basina interneti olusturan bir yapidir ve çogu kullaniciya görünmeyen protokoller toplulugudur. Simdi standart bir internet sunucusunda bulunan protokolleri siralayalim:

-Transfer kontrol protokolü (TCP),
-Internet protokolü (IP),
-Internet mesaj kontrol protokolü (ICMP),
-Adres çözümleme protokolü (ARP),
-Dosya tranasfer protokolü (FTP),
-Telnet protokolü,
-NNTP protokolü,
-SMTP protokolü,
-HTTP protokolü,

Burada verilen protokoller aslinda bazen birbiriyle iç içe girmis durumdadir. Yani internette bir noktadan bir noktaya veri transferi için bir tek yol degil bir çok yol vardir. Örnek olarak bir dosya transfer islemini için FTP protokolünü kullanabilirsiniz. Ancak bunun için eposta (SMTP protokolü), HTTP protokolü gibi diger yollari da kullanabilirsiniz.

ActiveX 'lere Dikkat

Girdiğiniz sitelerden bazıları bilgisayarınıza ActiveX yüklemek ister. Eğer siteye güvenmiyorsanız bunları kesinlikle yüklemeyin. Eğer ActiveX yüklenmesini reddetmek istiyorsanız Hayır'a değil köşedeki [ X ] tuşuna basın. Çünkü Evet ile Hayır 'ın yerini değiştirebiliyorlar.

Msn veya Hotmail şifrenizi çaldırmadan önce yapmanız gereken ayarlar

Her ne kadar şifre konusunda detaylı birçok döküman hazırlasamda insanoğlu okumuyor bunları ve birşeylerini birilerine kaptırmayı çok seviyor. Sonrasında forumlarda ve türlü türlü sitelerde mailim çalındı diye ağlaşıyorlar.

Bu bölümde Msn ve Hotmail adreslerimizi birilerine kaptırmadan önce üzerinde yapıcağımız birkaç ayarı göreceğiz.

Daha önceki şifre dökümanlarında söylediğim ve anlattığım şifrelerin zor karakterlerden oluşması, gizli soru ve zorluk derecesi , gizli soruya verilen alakasız cevaplar vs.. gibi konuları bir kenara bırakalım ve aşağıdaki maddeleri uygulayalım.

1) Hotmail ve Msn bilgilerinizi güncelleyin. İsim soyad, ülke, şehir, posta kodu, adres, alternatif mail, gizli soru ve cevap vs.. bu bilgilerin güncel halini ajanda, CD vb.. bir yere not alın veya bu bölümleri aklınızda kalıcak şekilde doldurun.

2) Msn ve hotmail adreslerinde kullandığınız şifrelerinizi değiştirin. Şifrenizi değiştirdiğiniz tarihi, saati, eski şifrenizi ve şu an kullandığınız yeni şifrenizi not alın. Bu şifreleri 15 günde veya ayda bir değiştirin bunu birkaç kez tekrarlayın. Tabiki her şifre değişiminin tarih ve saat bilgisinide not almayı unutmayın.

3) Kullandığınız hotmail içinde yeni dosyalar ve klasorler oluşturun. Örnek : dosya1, osmanatabey, ozel, deneme_dosyası tcpsecurity.com vs.. bu dosyaları unutmayacağınız şekilde isimlendirebilirsiniz. Oluşturduğunuz bu dosya isimlerinide not alın veya dediğim gibi aklınızda kalacak isimlerle oluşturun.

4) Msn Messenger ve Hotmail içindeki mailleştiğiniz, konuştuğunuz arkadaş listenizi detaylı bir şekilde not alın. ( Örnek: arkadasim@mail.com arkadasim2@baska_mail.com seklinde )

5) Hotmail hesabı ile gönderdiğiniz veya aldığınız bazı maillerin kopyalarını detaylı olarak bir kenara kayıt edin veya başka bir mailiniz varsa oraya gönderin.

Artık hotmail ve Msn şifrelerinizi rahatlıkla çaldırabilirsiniz.

Şifrenizi geri almak için Çalınan Msn veya Hotmail şifrelerini geri almak isimli dökümanı okuyup uygulamanız yeterli olucaktır.

Çalınan Msn veya Hotmail şifresini geri almak

Çalınan Msn veya hotmail şifresini geri almak için yapmanız gerekenleri maddeler halinde görelim :

1) Bir adet çalınmış Msn veya Hotmail gerekiyor.

2) http://support.msn.com/default.aspx?locale=en-us Bu linkteki servisler şu anda Türkçe destek vermemektedir. Bu yüzden hotmail veya Msn destek formunu ingilizce olarak doldurmanız gerekiyor. Hotmail ile yapacağınız tüm yazışmalarda ingilizce olucaktır.

Servisler arasından " Microsoft Passport Network (now Windows Live ID) " seçeneğini seçin. Bu servis hotmailin genel şifre servisidir. Eğer olurda bu seçeneği bulamassanız " Msn messenger " serviside aynı görevi görür.

3) Açılan form sayfasında ilgili yerleri aşağıda gösterdiğim biçimde doldurun.

* Full Name: ( İsim ve Soyad yazın. ) Örnek : Osman Atabey

* What e-mail address would you like a response sent to? : ( Bu bölüme bir e-mail adresi yazın. Çalınan mail hakkında sorulacak olan sorular ve şifre bilgileri buraya yazacağınız e-mail adresine gelicek. Şifrenizi geri alana kadarda Msn servisleriyle yaptığınız tüm yazışmaları buraya yazdığınız mail ile yapın. ) Örnek : simdiki_mail@mail.com

* Primary e-mail address/member ID associated with the account you are inquiring about: ( Bu bölüme şifresi çalınan mail adresini yazın. ) Örnek : çalinan_mail@mail.com

Service:
Windows Live ID

* What type of problem do you have? : (Bu bölümde hotmail servisi ile hangi konuda problem yaşadığınızı soruyorlar)
I have a comment/suggestion about Windows Live ID ile birlikte Technical Support seçeneğini seçin

veya

I need something fixed ile birlikte Other ve Other seçeneklerini seçin.

(Bu seçenekler bizim konumuzla ilgili değil fakat önemli olan hotmail destek bölümüne ulaşmak.)

* Be specific when describing your problem. The details that you include enable us to promptly send you the most likely solution to your issue. : (Bu bölüme Urgent ile başlayan cümleyi aynı şekilde yazın)

Urgent and important. My mail is hacked . Help me please

* Frequency of the issue: First time ( Bu seçeneği seçin )

* How do you access your account? : Computer ( Bu seçeneği seçin)

* Who is your ISP? : ( Bu bölümde kullandığınız servis sağlayıcısını soruyorlar Türk telekom seçeneği olmadığı için Other seçeneğini seçin ) Other

* Type of Internet connection: : ( Internete hangi şekilde bağlanıyorsanız o seçeneği seçin.)

* Have you recently installed any new software (if you enter yes please add more comments in the text box above)? : No ( Bu bölümde No seçeneğini seçelim )

Submit ile doldurduğumuz form bilgilerini gönderelim ve beklemeye başlayalım.

4) Form bilgilerini gönderdikten bir süre sonra aşağıdaki gibi bir mail alıcaksınız.

Not :Msn veya Hotmail size gönderdiği e-mail 'de sorduğu soru şeklini değiştirebilir. Burda verilen örnek şuanda kullanılan ve çalışan bir örnektir.

Hello OsmanAtabey

Thank you for writing to Windows Live ID Technical Support. This is Von and I understand that you believe that the security of your account has been compromised. I know how important it is for you to get your account back, so let me assist you.

OsmanAtabey, I would like to help you regain access right away, but because we value our members’ security and privacy, we will need your cooperation in verifying the account ownership. When we receive and verify the necessary information, we can give you the link that will allow you to reset your password. Please provide the following completely and accurately:

1. Your Windows Live ID
2. Your First and Last Names
3. Date of Birth (Month/Date/Year)
4. Country or Region
5. State (if applicable)
6. Zip or Postal Code
7. Your IP address. List the IPs from each computer that you use to access your account. You can go to www .whatismyip. com to find this information. The numbers that appear at the top of this page will be your IP address.
8. Answer to your Secret Question (if applicable)
9. Alternate email address associated with the account (if applicable)
10. Your Internet Service Provider (home or work). An ISP is a company that provides an end user with a connection to the Internet and other similar services, such as e-mail. Examples include MSNIA, EarthLink, and Comcast.
11. Last date and time you successfully signed in

Additional information that may assist us in verifying account ownership.

For Windows Live Mail customers:
1. Any folders you created (aside from the default folders)
2. Contacts in your address book
3. Subjects of any old mail that is in your Inbox or mail folders

For Windows Live Messenger customers:
1. A list of Contacts in your buddy list
2. Your Windows Live Messenger Nickname (your Messenger display name)

Your patience and cooperation on this matter are greatly appreciated. We look forward to your response and resolving your concern.

Sincerely,

Von
Windows Live ID Technical Support

5) Hotmail 'den gelen bu maile cevabımızda aşağıdaki şekilde olmalıdır.

Not : Çalınan mail hakkında aşağıdaki soruları yanıtlayacak kadar bilgiye sahip değilseniz cevabını hatırlayamadığınız veya bilmediğiniz soruların yan tarafına ( I dont Know and Dont remember ) şeklinde bir cevap yazın. Aşağıdaki soruların çoğu hotmail ayarlarına yazdığınız bilgilerin doğruluğunu ögrenmek için sorulmaktadır. İlk başta dediğim gibi Hotmail ayarlarındaki bilgileri hatırlayamıyorsanız bu bölümleri yanlış bilgilerle doldurmayınız.

İçlerinde cevaplanması gereken önemli sorular : Eski şifreler ve hangi tarihler arasında kullanıldığı, alternatif mail adresi, en son giriş tarihi veya hangi saatler arasında olduğu, hotmail içinde oluşturduğunuz dosyalar klasörler ve hatırladığınız her hangi bir veya birkaç mail içerigi, Msn veya hotmail arkadaş listeniz.

Kendi bilgilerinizi aşağıdaki kırmızı olan yerlere gösterildiği biçimde yazabilirsiniz :

Hello

Addition information :

My old passwords : ( Bu seçeneği ek bilgi olarak ben ekledim. Mail için kullandığınız eski şifreleri bu bölüme yazabilirsiniz tabiki şifreleri hangi tarihler arasında kullandığınızı hatırlamanız gerekiyor. Tarih bilgisi şu aylar arasında veya şu sene gibi tahmini olarakta verilebilir ve ingilizce olarak yazılmalıdır. )

Örnek : My old passwords : tcpsecurity.com in 2005-2006 , osmanatabey in 2007 January


1. My Windows Live ID : ( Şifresi çalınan hotmail 'i yazın ) Örnek : çalınan_mail@mail.com

2. Your First and Last Names : ( İsim Soyad buraya ) Örnek :Osman Atabey

3. Date of Birth (Month/Date/Year) : ( Doğum Tarihi buraya Ay/Gün/Yıl şeklinde ) Örnek: 06/15/1977

4. Country or Region : ( Ülkeyi yazın ) Örnek : Turkey

5. State (if applicable) : ( Bulunduğunuz İl 'i buraya yazın ) Örnek : Istanbul / Kadıköy

6. Zip or Postal Code : ( Bulunduğunuz İl 'in posta kodunu yazın ) Örnek : 34200

7. My IP address : Bu mail i göndermeden önce www.whatismyip.com buradan ip adresinizi ögrenin ve bu bölüme yazın. Örnek: 81.214.175.14

8. Answer to your Secret Question (if applicable) : Gizli soru ve cevabını bu bölüme yazın.

My secret question : ( Gizli sorunuzu yazın ) My answer : (Gizli sorunuza verdiğiniz cevap buraya)

Örnek : My secret question : Mailini kim hackledi My answer: HacerAna

9. Alternate email address : ( Eğer şifresi çalınan hotmail ayarlarına alternatif bir mail yazdıysanız o maili buraya yazın.) Örnek : alternatif_mail@mail.com

10. My Internet Service Provider : ( ISP yani internet servis sağlayıcınız hangisiyse bu bölüme yazın. Türk Telekom Adsl Company, SuperOnline, E-Kolay vs.. olabilir. )

11. My last date Signed in Time : (Burada ise hotmail veya msn 'ye en son hangi tarihte giriş yaptığınız soruluyor. Hatırlıyorsanız yazın eğer mail şifrenizin ne zaman çalındığını biliyorsanız o tarihide buraya ekleyin ) Örnek : I signed in 03/26/2007 My mail is hacked 03/27/2007

For Windows Live Mail customers Answers : (Hotmail için sorulan soruların cevapları )

1. Any folders my created (aside from the default folders) : ( Hotmail içinde daha önce bir dosya veya klasör oluşturup oluşturmadığınız soruluyor. Eğer hatırlıyorsanız isimlerini yazın )

Örnek : My folders : depo, play, ozel_mailler, eski_mailler

2. Contacts in my address book (please include the e-mail address) : (Hotmail içindeki arkadaş listeniz veya devamlı olarak mail gönderip aldığınız kişilerin mail adreslerini buraya yazın.)

Örnek : Contacts in my adress book : arkadasim1@mail.com arkadasim2@baskamail.com

3. Subjects of any old mail that is in your Inbox or mail folders : ( Hotmail içinde aklınızda kalan eski bir mail içeriği, gelen maillerden bir örnek, gönderdiğiniz veya detaylı olarak hatırladığınız bir mail içeriğini bu bölüme yazın )

For Windows Live Messenger customers Answers : ( Msn messenger için sorulan soruların cevapları )

1. A list of Contacts in your buddy list (please include the e-mail address) : (Msn messenger arkadaş listenizde olan kişilerin mail adreslerini detaylı olarak yazın. Ne kadar fazla e-mail adresi hatırlar ve yazarsanız o kadar iyi olur.)

2. Your Windows Live Messenger Nickname (your Messenger display name) : ( Msn messenger içinde kullandığınız nick veya görüntü adı (Display) bölümüne en son yazdığınız yazının aynısını buraya yazın.)

Örnek: Xelikan & e-hacker.blogspot.com

6) En son olarak gönderdiğiniz bilgilerin doğruluğu Msn ve Hotmail tarafından kontrol edilip onaylandıktan sonra size şifrenizi yenilemeniz için bir mail göndericekler o maildeki adımları uygulayarak mailinizi geri alabileceksiniz.

E-Mail Güvenliği - 2

Bu bölümde E-Mail çalma yöntemlerini ve bunlara karşı neler yapılabileceğini öğreneceğiz.

Not:Bu bölümde anlatılan yöntemlerin bazıları genel şifre çalma yöntemlerinide içermektedir.

1. Fake Mail

Fake Mail herhangi bir mailin birebir kopyası yapılarak oluşturulur.Fakat gerçek maille arasındaki fark doldurduğumuz form bilgilerinin mailimizi çalmak isteyen kişiye gitmesidir. Çoğu kişi programlama dillerinden veya kod yazmaktan anlamadığı için internette bulunan hazır kodlarla mailinizi çalmaya çalışır.

Bu hazır kodlar genellikle mail hesabınızın zamanı doldu, şifre bilgilerini ve diğer bölümleri doldurarak bize geri gönderin şeklindedir.İnternetle yeni tanışan bir kişi basitçe hazırlanmış bu sahte mailin gerekli bölümlerini doldurarak mailinin çalınmasını engelleyemez.

Mailinizi çalmak isteyen kişi programlama dilinden anlıyorsa ve kodlama yöntemlerini gerektiği kadar biliyorsa öncelikle sizinle tanışma çabası içine girecek veya sizin hakkınızda bilgi edinmeye çalışacaktır.Sevdiğiniz ilgi duyduğunuz konuları ögrenerek veya arkadaşlık kurarak size özel olarak hazırlanmış bir Fake Mail göndericek böylelikle Email hesabınızın şifresini çalabilecektir.

Özel olarak hazırlanmış bu Fake Mail ne gibi teknikler içeriyor inceleyelim

a ) Kullandığınız Email servisinden geliyormuş gibi ( Hotmail, Yahoo, vb. ) ilgilendiğiniz konuyla alakalı bir email gönderilir. İlgilendiğiniz konuya ulaşmanız için bir linke tıklamanız istenebilir bu sırada sahte bir şifre sorgu penceresi açılır ve size kullandığınız mail servisinde bir sorun olduğunu mail şifrenizi tekrar girmeniz gerektiği söylenir. Böylece girilen şifre bilgileri fake maili hazırlayan kişiye ulaşır.

İlgilendiğiniz konulara örnek olarak : Tanınmış sanatçılara ait konser biletleri için çekiliş, Spor Dalı, Bilgisayar, Gezi vb... birçok konu ile ilgili mailler gelebilir.

b ) İlgilendiğiniz konu mailini açtığınızda size direkt olarak şifreniz sorulmayabilir. Konu devamında sitemize veya arkadaş grubumuza kayıt yaptırmak için gösterilen formu veya bilgileri doldurunuz gibi bir istekte bulunulabilir.Böyle bir form veya bilgi bölümleri gerçek olmayacağı için bu bilgiler direkt olarak Fake Maili hazırlayan kişiye ulaşacaktır.Mesela doldurulması zorunlu isim, soyad, postakodu, adres bilgileri, gizli soru seçenekleri, şifre gibi bölümleri doldurduk ve gönder diyerek bilgilerimizi gönderdik.Fake Maili hazırlayan kişi bu bilgileri alır ve çalmak istediği mail bilgilerinle almış olduğu bilgileri karşılaştırarak sonuca ulaşmaya çalışır.

c ) İlgilendiğiniz veya herhangi bir konuyla alakalı bir mail gönderildi varsayalım.İçinde bulunan linkleri veya butonları tıklamanız istenebilir.Örnek olarak anlatılan konuya ulaşmak için http://e-hacker.blogspot.com u tıklamanız gerekiyor.Fakat tıkladığınız link bu site yerine özel olarak hazırlanmış ve içinde virus bulunduran bir siteye gidiyor.Firewall programınız yoksa veya aktif değilse bilgisayarınıza yerleşen trojan veya virus sizin her türlü şifre bilginizin karşı tarafa gitmesini sağlayacaktır.

2. Trojan, Virüs, Backdoor, KeyLogger

Msn, Irc, Chat, Forum vb.. gibi yerlerde internet üzerinden tanıştığınız kişiler özel olarak trojan, virüs, keylogger eklenmiş bir dosyayı size gönderir ve bunu çalıştırmanızı isteyebilir.Bu tür dosyalar resim program gibi çeşitli şekillerde olabilir.Ayrıca mailinizi çalmak isteyen bir kişi özel bir websitesi hazırlar, size bu sitede bilgisayarınız için gerekli bir yazılımın veya güzel bir programın olduğunu sizi ikna ederek önceden hazırladığı viruslu programı yüklemenizi ve çalıştırmanızı sağlayabilir.

3. Bilgileri Deneme Yanılma Yöntemi

Email alırken bir form dolduruyorsunuz ve bu bölümlere kişisel bilgilerinizi giriyorsunuz.Mailinizi çalmak isteyen kişi sizi tanıyorsa ve sizin hakkınızda çoğu şeyi öğrendiyse bu bölümlerini doldurarak mailinizi ele geçirmek isteyecektir.Bunu önlemek için mail bilgilerinizi değiştirmeniz gereklidir.Örnek olarak bulunduğunuz ülke arjantin, posta kodu 55555, isim baykuş, gizli soru olarakta diğer dökümanda örnek verdiğim gibi soruyla alakasız şeyler yazmalısınız.Böyle bilgileri akılda tutmak zor olucağından bilgisayar dışında herhangi bir yere not alabilirsiniz.Bu bilgilerin aynısını üyelik isteyen herhangi bir yerde kesinlikle kullanmayın.

4. İnternet Cafeler

Internet cafeleri kullanarak internete erişiyor olabilirsiniz veya evinizdeki bilgisayar sorunlarından dolayı cafelere gitmeniz gerekebilir.Kullandığınız bilgisayarı sizden önce kullanan kişi Keylogger yani tüm yazılanları bir dosya içine kayıt eden ve o kişinin mail adresine gönderen bir program kurmuş olabilir.Böyle bir durumda yazmış olduğunuz şifre bilgileri çalınabilir.

5. Bilgisayarınızdaki Açıklar

Bilgisayarınızdaki diğer açıklar kullanılarak trojan, virus, backdoor, keylogger programları yerleştirilebilir ve şifre bilgileriniz çalınabilir.

E-Mail Güvenliği

1. E-Mail adresi alırken doldurduğunuz forum içinde eğer şifrenizi unuttuğunuz taktirde size sorulması gereken bir gizli soru seçeneği bulunmaktadır.Bu seçenek sevdiğiniz film, yemek veya hayvan ismi vs.. olabilir.

Sizin bu soruya cevabınız şu şekilde olmalıdır.

Örnek:

Gizli soru : sevdiğiniz film Cevabı : yengeçleryanyangider

veya

Gizli soru : sevdiğiniz hayvan Cevabı : portakal

Cevapların alakasız şeyler olması gizli soruların her zaman güvende olmasını sağlar.

2. Bunların haricinde sifreleme konularında olduğu gibi mail gizli sorularını ve cevaplarını her yerde aynı kullanmamaya özen gösterin. Örnek olarak herhangi bir website üyeliğinde kullandığınız bir gizli sorusunu ve cevabını önemli bir email adresinizde kullanmayın.

3. Özel işlerinde veya yazışmalarında kullanmak için email adresi alan internet kullanıcıları bu maillerini website üyeliklerinde, forum vb.. paylaşım ortamlarındada kullanırlar ve devamlı olarak spam maillerden şikayet ederler.Bunu önlemenin bir yolu olarak şunu tavsiye edebilirim.Kendinize ait özel bir mail aldıktan sonra buna benzer bir başka mail alarak bu maili sadece üyeliklerde veya önemsiz işlerde kullanabilirsiniz.Spam maillerin önüne geçmenin en iyi yolu budur.

Şifreleri Korumak

Şifreleme ve Şifre çalma yöntemlerini okuduktan sonra sıra geldi şifrelerimizi korumaya...

Şifrelerinizi Korumanız için Yapmanız Gerekenler

1. Tanımadığınız kişilerden resim, dosya veya program almayın.

2. Gelen her maili açmayın.Özellikle bu tür maillerin kimden geldiğini bilmiyorsanız direkt olarak açmadan silin.Eğer açtıysanız içindeki resimleri veya dosyaları kopyalamayın bilgisayarınıza indirmeyin ve içindeki linkleri tıklamayın.

3. Bütün istediğiniz bilgileri İnternette bulma imkanınız vardır.Bunu özellikle unutmayın.Tanımadığınız bir kişi size özel olarak mailden ilginç birşey yollayıp memnun etmek için uğraşmaz.

4. İnternette herkese arkadaş gözüyle bakmayın.Özellikle chat yapanlar bilir.Sanaldaki insanların çoğu sanal yaşarlar ve sizin şifrelerinizi çalmasalar bile ne yaptığınızı kontrol etmek için devamlı olarak bir merak halindedirler.Bu meraklarını gidermekte şifrelerinizi ele geçirmekle mümkündür.Zaman içindeki arkadaşlıktan doğan sebeplerden dolayıda size dosya, program ve resim türü belgeleri göndermeye çalışabilirler.

5. Chat, Messenger veya Forum türü ortamlarda bulunuyorsanız buradaki bayanların tamamen 100% bayan olduğunu gözünüzle görmeniz gerekiyor.Bunun için en iyi yöntem kamera. Bu madde bayanlar içinde geçerlidir :)) Şunuda unutmayınki çoğu sohbet programlarında sahte webcam görüntüleri kullanılabilmektedir. Yani bir bayanın webcamından alınan görüntü kaydedilir ve arkadaşlık kurulmak istenen erkek veya kadına o görüntüler izlettirilebilir.

6. Bilmediğiniz tanımadığınız sitelere meraktan girmeyin.Eğer giriyorsanız bilgisayarınıza Firewall yükleyin. Javascript, activex, visual basic kodları bilgisayarınızda port açmaya veya komut çalıştırmaya yeterlidir ve bu tür eklentiler websitesi içine rahatlıkla yerleştirilir.Trojan veya virus içerikli websitelerinden firewall ve antivirus kullanarak korunabilirsiniz.

7. Üye olduğunuz forumlarda, gönderdiğiniz maillerde, bazı chat serverlarda ve girdiğiniz sitelerde Ip adresiniz gözükmektedir.Bu yüzden öncelikli olarak korumanız gereken şeyler Ip adresiniz, portlarınız ve en son olarakta bilgisayarınızdır.

8. Yukarıdaki maddede port dedik. Internette milyarlarca internet kullanıcısı var ve bunların bazıları (yani milyonlarcası) Scan ve scanner nedir bilirler. Scan yöntemini kullanarak internete bağlı olan bir bilgisayarın hangi portlarının açık veya kapalı olduğu öğrenmek mümkündür. Eğer bilgisayarınızda açık olan portlarınız varsa ve bu portlardan bilgisayarınıza ulaşılabiliyorsa kötü niyetli bir kişi bilgisayarınız üzerinde istediği herşeyi yapabilir.

9. Son olarak sizin şifrelerinizi
Hackerlar çalmaz. Hiçbir Hacker in sizinle işi olmaz bunu kesinlikle unutmayın. Şifre veya bilgi çalan, bilgisayarlara zarar veren kişiler daha çok Cracker olarak isimlendirilir. Fakat günümüzde bilgisayarla uğraşan kişilerin bazıları şifre çalmak, bilgisayarlara, websitelerine saldırmak ve zarar vermenin önemli bir olay olduğunu sanmaktadır. Bunu yaparakta kendilerine sanal ortamda bir yer edinmeye çalışırlar ve öğrendikleriklerini bilgisiz internet kullanıcıları üzerlerinde denerler.Bu gibi kişilerin saldırılarından korunmak içinde kullandığınız bilgisayar ve internet hakkında devamlı olarak güncel dökümanları ve haberleri okuyarak kendinizi eğitmelisiniz.

Şifre Çalma Yöntemleri

Şifre çalmak isteyen insanların yöntemlerini öğrenirseniz şifrelerinizi daha iyi koruyabilirsiniz. Şifre çalan veya kıran kişilere verilen isim daha çok Cracker 'dir.Genelde çoğu insan şifre ve bilgi çalan, bilgisayarlara saldıran veya virusleri yazan kişilere Hacker ismini vermektedir bu düşünce yanlıştır.

Şifre Nasıl Çalınır (Crack)

1. .jpg, .gif, .exe veya değişik formatlarda olan bir dosyayı trojan veya virus içeren bir programla birleştirip karşı tarafa herhangi bir yöntemle gönderdikten sonra bu programı açması veya çalıştırması sağlanır.

2. Keylogger gönderilir. (Bu program Klavye üzerinde basılan her tuşu bir dosyaya kaydeder)

3. Fake Mail (Sahte site üye girişleri hazırlanarak gönderilebilir) veya gönderilen Email içine viruslu bir dosya eklenebilir veya önceden hazırlanmış trojanlı bir site linki koyularak bu linki açması sağlanabilir.

4. E-Mail şifreleri için : Kişinin gizli sorusunu kolay cevaplar deneyerek bulmaya çalışmak.

5. Kişinin başka bir şifresini ele geçirerek aynı şifreyi diger şifrelerle karşılaştırmak veya benzer şifreler üretmek.

6. Ip adresi öğrenmek için email, sohbet veya dosya paylaşımı gibi yöntemler kullanmak.Fakat ip adresi öğrenilse bile şifresi çalınacak kişinin bilgisayarında bazı güvenlik açıkları olması gereklidir.Aksi taktirde Ip adresini kullanarak kişinin şifreleri çalınamaz veya bilgisayarı ele geçirilemez.

7. Trojanli bir site hazırlamak ve karşıdaki kişinin bu siteye girmesini sağlayarak bilgisayarına trojen bulaştırmak.Bu şekilde karşıdaki kişinin Ip adreside ögrenilebilir. Diğer bir yöntem ise hazırlanan siteye birçok kişinin kullandığı güncel programları değiştirip trojan ve virus içeren bir programla birleştirdikten sonra eklemek.

8. Ip adresi biliniyorsa Scanner yardımıyla tüm portlar kontrol edilir.Bilinen trojan portlarından internette mevcut olan programlar yardımıyla veya gerekli komutlarla karşı bilgisayara girilmeye çalışılır.

9. İnternette sohbet yapılan bir ortamdaysak bayan nicki erkek tarafını kandırmak için çok geçerli bir tekniktir. Msn de, site forumunda veya başka bir yerde hedef seçilen kişi bayan nickiyle kandırılarak üst tarafta anlattığım teknikler uygulanır.Buna benzer diğer bir yöntem ise bayan isminden oluşan bir email alınır ve bu maille karşı tarafa yanlışlıkla mail gönderilmiş gibi yapılabilir bu bahaneyi kullanarakta sohbet başlatılabilir.

10. Güven kazanmak iyi birşeydir. Fakat sabır ve güveni birleştirdikten sonra bu güveni iyi veya kötü yolda kullanmak kişiye kalmıştır.Güven verdiğiniz bir insanın şifrelerini almak kadar basit birşey yoktur.

Şifreleme Yöntemi

Genelde Şifre kullandığımız yerler

1. İnteraktif Bankacılık İşlemleri

2. Web Sitesi Yönetimi

3. E-Mail ve Sohbet programları

4. Üyelik İsteyen Siteler

7. İnternet Bağlantısında

6. Bilgisayar içindeki Dosyalarımızda vb. gibi birçok yerde şifre kullanmaktayız.

Şifre Seçiminde Dikkat Etmemiz Gereken Unsurlar

1. Doğum tarihi, isim veya ismin birkaç kez yanyana yazılmış haldeki şifreleri kullanmaktan kaçınmalıyız.

2. Devamlı hakkında konuştuğumuz ve insanların bildiği.Sevdiğimiz muzik,sinema veya bir sanatçının ismi gibi şeylerin şifre olarak seçilmemesi gerekir.

3. Bir yerde kullandığımız şifreyi başka bir yerde kullanmamalıyız.Örnek e-mail için kullanılan bir şifre Bankacılık işlemlerinde veya Site üyeliklerinde kullanılmamalıdır.

4. Yukarıdaki maddeye benzer olarak kullandığımız şifrelerin birbirini çağrıştırmaması ve ayrı şifreler şeklinde olması gereklidir.Kısacası websitesi üyelik şifrenizi bilen bir kişinin e-mail şifrenizi tahmin edememesi gereklidir.

5. Klavyedeki sıralanmış olarak bulunan ve sonradan kolayca hatırlama imkanımız olan şifreleme kombinasyonlarını kullanmamalıyız.Örnek 1234567890 , 0987654321 , zxcvbnm , 1qaz veya qwertyuıop gibi.

6. Şifre seçiminde harflerle sayıları karıştırmalıyız.Örnek pczt6lke789n6 bu tür şifreleri hatırlamamız bazen zor olabilir bu yüzden bu şifreleri bilgisayar dışında bir yerde not alarak tutabiliriz.

7. Eğer çok karışık bir şifre seçmek istemiyorsak o zaman normal konuşma veya sohbette kullanmadığımız sevdiğimiz sanatçı,yemek,spor dalı ve sevdiğimiz arkadaşımızın ismi gibi şeyleri sayılarla karıştırarak şifre haline getirebiliriz.Örnek : ok234yanus, can1dan2er3ce4tin5, ka11ra22te33 vb...

8. Şifrelerimizi not aldığımız bir ajanda veya herhangi bir kağıt parçası varsa bu bilgileri bilgisayar üzerine yapıştırmak veya çalışma masamızın üzerinde bulundurmak yanlıştır.Bu tür bilgileri daha güvenli olan yerlerde saklayabiliriz.

Temel Saldırı Teknikleri

Bu dökümanda bazı saldırı teknikleri hakkında bilgi sahibi olarak bu saldırılara karşı ne gibi korunma önlemleri alacağınızı öğrenebilirsiniz.

1.a Fingerprinting

Fingerprinting tanımı aslında karşı taraf hakkında bilgi toplamaktan ibarettir.Bir saldırı yöntemi değildir sadece karşı sistem hakkında bilgi verir ve saldırı için doğru seçimlerin yapılmasına olanak sağlar.Çalışan işletim sistemi, çalışan programlar işletim sistemi versiyonu gibi bilgiler sayesinde karşı sistemin güvenlik açıkları kolayca tespit edilip saldırı uygulanabilir.Bir çok çeşidi ve yöntemi vardır.En basit örneği , FTP Server’larından vermek mümkündür.FTP formatına göre karşı tarafa gönderilen “SYST” mesajı karşı tarafın işletim sistemi hakkında bilgi verir.Örneğin; anonymous olarak ftp.sau.edu.tr adresine bağlanıp, command ekranına SYST yazılırsa sonuç aşağıdaki gibi olacaktır :

Connected to ftp.sau.edu.tr

SYST
215 UNIX Type: L8
Host Type (S): UNIX Standart

Bu sayede karşı tarafta UNIX Standart yüklü bir makinenin olduğu tespit edildi.Bunun dışında telnet aracılığıyla bağlandığımız bir sistem direkt olarak bize işletim sistemini verebilir.Çoğu işletim sistemi üreticisi günümüzde bu bilgiyi telnet üzerinden otomatik olarak vermeye ayarlıyor ve çoğu sistem yöneticisi de bunları kapatmıyor.Aşağıda küçük bir örnek var:

playground~> telnet hpux.u-aizu.ac.jp
Trying 163.143.103.12 ...
Connected to hpux.u-aizu.ac.jp.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

Görüldüğü gibi yaptığımız tek şey telnet aracılığı ile karşı tarafa bağlanmaktı.Sistem bize işletim sistemini versiyon numarasına kadar verdi.Bu yöntemlerin dışında birde http Fingerprinting adı verilen ve adından da anlaşılabileceği gibi http protokolünü kullanan bir yöntem daha var.Bu yöntemde “http” ’de tanımlı “GET” metodunu kullanarak Web Server’ın ne olduğunu öğreniyoruz:

playground> echo 'GET / HTTP/1.0\n' | nc hotbot.com 80 | egrep '^Server:'
Server: Microsoft-IIS/4.0

IIS Web Server kurulu bir sistemde hangi işletim sisteminin yüklü olduğunu tahmin etmek pek zor değil.Bu anlatılan yöntemlerden farklı olarak daha alt seviye bazı yöntemler de mevcut.Bu yöntemler TCP/IP protokolünün işletim sistemleri arasındaki küçük farklarından yararlanarak amacına ulaşıyor.Aşağıda bunlardan bazılarını inceleyelim:

The FIN Probe: Bu teknikte karşı tarafın açık bir portuna bir FIN paketi yolluyoruz(Yani FIN kontrol biti bir olan herhangi bir paket).RFC 973 standart’ına göre karşı tarafın bu pakete hiçbir karşılık vermemesi gerekirken, MS Windows, BSDI, CISCO, HP/UX, MVS, IRIX gibi işletim sistemleri geriye RST paketi yollarlar.Günümüzde bir çok Fingerprinting aracı bu yöntemi kullanmaktadır.

TCP ISN Sampling: Bu teknik işletim sistemlerinin TCP/IP stack’lerinin “initial sequnce number”’ları (ISN) seçme özelliğinden faydalanıyor.Hatırlayacağınız gibi TCP/IP’de bir bağlantı kurulduğu zaman iki tarafta da byte akışının doğru sağlanması için sequence number’lar kullanılıyordu.Her yeni paket için de x kadar arttırılıyordu.Bu yöntemde işletim sistemlerini kategorize edersek: “Random Increments”, “True Random” ve “Time dependant model” olarak üçe ayırabiliriz.İlk modelde iki bağlantı için belirlenen seq. Number’lar arasındaki x artış miktarı her paket için random olarak seçilir ve sürekli bir öncekiyle toplanır.Solaris, IRIX, FreeBSD, Digital UNIX, Cray gibi işletim sistemleri ISN üretmede bu modeli kullanmaktadır.İkinci modelde ise iki bağlantının seq. Number’ları arasında hiçbir bağıntı yoktur, birbirlerinden tamamen bağımsızdırlar.Bu modeli kullanan sistemler arasında Linux 2.0.x Open VMS gibi sistemleri sayabiliriz.Üçüncü modelde ise ISN ‘ler belli bir zaman aralığında sabit bir sayıyla toplanarak elde edilirler.Windows bu üçüncü modeli kullanan bir yapıya sahiptir.

TCP TimeStamp: TCP başlığı içinde yer alan bu bilgiyi işletim sistemleri farklı işlerler.Bazıları bu özelliği desteklemez, bazıları ise belirli peryodlarla bu değeri arttırırlar.Bazı işletim sistemleri ise hep 0 döndürür.

TCP Initial Window: Bu teknikte karşı sistemden dönen paketlerin “Window Size”’ları kontrol edilir ve buna göre değerlendirme yapılır.Bu değerlendirme önemlidir çünkü çoğu işletim sistemi bu değer için sabit bir sayı kullanır.Örneğin AIX işletim sistemi Window Size değeri için hex değer olarak $3F25 sayısını kullanır.Aynı şekilde FreeBSD, OpenBSD ve Windows NT işletim sistemleri bu sayıyı $402E olarak belirlemişlerdir.

ICMP Message Quoting: Bu teknikte ICMP protokolünün “port unreachable” hatasından faydalanıyoruz.Bu hata karşı tarafa bir ICMP paketi gönderildiği ve bu port açık olmadığı zaman geri gelen bir hata mesajıdır.Çoğu sistem IP Header + 8 Byte geri gönderir.Fakat Solaris işletim sistemi 8 Byte’dan daha fazla gönderir, Linux ise Solaris’ten daha fazla gönderir.

Type Of Service: ICMP protokolünde alınan bir port unreachable paketinin ToS değeri incelenirse, bu değerin her işletim sisteminde 0, bir tek Linux’ta $0C olduğu görülmüştür.

TCP Options: TCP paket başlığında “TCP Options” değerini kullanarak işletim sistemi tahmini yapmaktır.Bu yöntemin bir çok avantajı vardır bunlardan birkaçını sıralarsak:

i) Her şeyden önce bu kısım isteğe bağlıdır yani birçok işletim sistemi bu değeri gözardı eder.

ii) Eğer bir Option ayarlayarak karşı makineye gönderirseniz, karşı sistemin cevabı o option’ ın desteklenip desteklenmediğini gösterecektir.Bu Option’lar da her işletim sistemine göre değişeceği için bu da bize avantaj sağlar.

iii) Bir çok Option’ı ayarlayıp sadece bir paket göndererek, cevap alabilirsiniz.Yani tek bir paketle karşı tarafın hangi Option’ ları desteklediğini kolayca anlayabilirsiniz.

WindowScale, NOP, Max Segment Size, TimeStamp TCP Options’ın alabileceği değerlerin bazılarıdır.Örneğin bu sayılan özelliklerin hepsi FreeBSD tarafından desteklenmektedir.Bunun yanında Linux 2.0.x sürümleri yukarıdakilerin çok azını destekler.İki işletim sistemi aynı Option özellikleri desteklese bile bunlara verdiği cevaplar faklıdır.Örneğin bir Linux sistemine küçük bir MSS(Max Segment Size) değeri gönderilirse, sistem aynı değeri bize geri gönderecektir.Geri dönen değerler aynı olsa bile sıraları faklıdır.Örneğin Solaris “MSS” değerine “NNTNWME” ile cevap verirken Linux 2.1.122 “MENNTNW” ile cevap verir

1.b Port Scanning

Port Scanning (Port Tarama) adı verilen yöntemde karşı taraf hakkında bilgi toplamayla alakalı bir işlemdir.Bu işlemde aynı Fingerprinting gibi protokol formatına dayanır ve karşı sistemde açık olan portları bulmamızı sağlar.Bu sayede Fingerprinting ’ten elde edemediğimiz bilgileri bulabiliriz.Örneğin karşı tarafın 135 no’lu portu açıksa muhtemel bir Windows İşletim sistemiyle karşı karşıya olduğumuzu varsayabiliriz.Yada bir başka örnek olarak karşı tarafta eğer 80’inci port açıksa bu makinenın da bir HTTP Server olduğunu varsayabiliriz.Port Tarama yönetimde bilgi toplama portların ne işe yaradıklarını ve genel kullanımlarını bilmekle alakalıdır.Bu şekilde karşı sistemin zayıflıkları bile bulunabilir.Aşağıda kendi makinemde denediğim Port tarama işleminin sonuçları görünmekte :

Scanning 127.0.0.1 (localhost), range : 1 -135

[110] Service found at: 110

[110] Could be: pop3

[110] Read:

[135] Service found at: 135

[135] Could be: epmap

[135] No data to read.

Burada kendi makinemde 1 ile 135’inci portlar arasında yaptığım port taraması sonuçları görülmekte.Görüldüğü gibi makinemde 110 ve 135’inci portlar açık durumda bu portların işlevleri ise sırasıyla “pop3” ve “epmap” olarak adlandırılmış.Başka birisi bende port taraması yapıp bu sonuçları aldığında makinemde muhtemel olarak Windows yüklü olduğunu kolayca anlayabilir.Bu örnekteki port tarama işlemi basit olarak şöyle bir senaryoyla anlatılabilir: Belli bir IP adresinin her portuna bağlantı isteği gönderilir.Eğer bağlantı gerçekleşirse port açık, gerçekleşmezse port kapalıdır diyebiliriz.

1.b.a Stealth SYN scan

Port Tarama işleminden bahsettik fakat bu işlemin alt seviyede nasıl yapıldığından sözetmedik.Bu sistem, karşı tarafın istenilen port aralığına bağlanma istekleri göndererek çalışır.Şimdi eski bilgilerimizi tekrar hatırlarsak TCP/IP protokolünde bir TCP bağlantısının gerçekleşmesi için 3 yollu el sıkışma olduğunu biliyoruz.Bu el sıkışmada bağlantı isteyen makine server’a bir SYN paketi gönderir.Bağlantı uygunsa server’da bu makineye bir SYN+ACK paketi yollar.Son olarak ta makine server’a bir ACK paketi yollar ve bağlantı kurulurdu.Stealth SYN Scan tipinde port tarama işlemlerinde son ACK paketi dikkate alınmaz, yani server ‘dan SYN+ACK paketi alındığında, o portun açık olduğu varsayılır ve bu şekilde tarama işlemi hızlandırılır.Bu saldırı yönteminden korunmak neredeyse imkansızdır.Fakat bazı paket filtreleme donanım yada yazılımları sayesinde gelen paketler incelenir ve SYN paketleri hep aynı IP adresinden geliyorsa bloke edilir.Aşağıda nmap adlı bir port scanner programının lokal ağda yaptığı bir taramanın sonuçları yer alıyor:

C:\osmanatabey\nmap-3.75-win32>nmap -v -sS 10.0.0.21

Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2005-01-02 22:18 GTB Standard Time

Initiating SYN Stealth Scan against T1000 (10.0.0.21) [1663 ports] at 22:18

Discovered open port 3389/tcp on 10.0.0.21

Discovered open port 139/tcp on 10.0.0.21

Discovered open port 445/tcp on 10.0.0.21

Discovered open port 1025/tcp on 10.0.0.21

Discovered open port 135/tcp on 10.0.0.21

The SYN Stealth Scan took 1.47s to scan 1663 total ports.

Host T1000 (10.0.0.21) appears to be up ... good.

Interesting ports on T1000 (10.0.0.21):

(The 1658 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

1025/tcp open NFS-or-IIS

3389/tcp open ms-term-serv

MAC Address: 00:50:FC:A0:26:AB (Edimax Technology CO.)

Nmap run completed -- 1 IP address (1 host up) scanned in 1.969 seconds

Görüldüğü gibi SYN Scanning lokal ağda 1.5 saniye gibi kısa bir sürede 1600 port taradık.Aynı işlemi normal adi port scanner’la yaptığımızda sonuçları elde etmemiz 3 dakika sürdü.Dikkat edilirse port tarama işlemi bittikten sonra bir de açık portların görevleri gösterildi.Bu sayede karşı tarafta hangi işletim sisteminin yüklü olduğunu tahmin edebiliriz.

1.b.b FIN Scanning

FIN Scanning’te Stealth SYN Scan mantığına dayanır.Karşı tarafa bir FIN paketi gönderilir.Bu paket TCP/IP protokolünde bağlantının bittiğini haber veren mesajdır.Eğer biz bağlı olmadığımız bir adresin herhangi bir portuna FIN paketi yollarsak ve eğer o port kapalıysa bir RST paketi geri döner.İşte bu sayede port kontrolü yapabiliyoruz.Fakat bu yöntem Windows işletim sistemi yüklü makineler için geçersizdir.Çünkü Windows yollanan her FIN paketine RST cevabını verir, port açık olsa da olmasa da.Her neyse aslında bu tarama yönteminin ortaya çıkış nedeni “SYN Scan” port tarama yönteminin bir çok paket filtreleme programı tarafından engellenmesi sonucu ortaya çıkmıştır.İlk kez Uriel Maimon tarafından Phrack 49, Article 15 ‘ te anlatılmıştır.Bu yöntem de günümüzde paket filtreleme programları tarafından engellenebildiği için hacker’ lar da değişik sistemler üzerinde değişik tarama işlemleri gerçekleştirmeye başlamışlardır.”XMAS Scan” ve “NULL Scan” adı verilen iki tip tarama yöntemi daha mevcuttur.XMAS yönteminde tıpkı bir Noel Ağacının her tarafının ışıl ışıl parlaması gibi, bir TCP paketinin bütün kontrol bitlerini etkin duruma getirir.Bu şekilde cevapları inceleyerek tarama işlemini yapar.NULL tarama metodunda ise XMAS ’ın tam tersi olarak tüm kontrol bitlerini etkisiz duruma getirir.Her neyse her iki metotta da karşı sistemin işletim sistemi paket cevaplarının incelenmesinde kilit rol oynar.

1.b.c Fragmented Packet Scanning

Bu tarama metodu, paket filtreleme programları tarafından engellenmesi en güç olandır.Çünkü bu metotta TCP Başlıkları da kendi içinde parçalara ayrılarak karşı tarafa gönderilir.Bu sayede paket filtreleme programı tüm TCP başlığını göremediği için filtreleme işlemini yapamayacaktır.Ancak yine de bu tarama metoduna da dayanıklı sistemler mevcut:Örneğin Linux sürümlerinde CONFIG_IP_ALWAYS_DEFRAG özelliği sayesinde, herhangi bir başlık tamamen oluşturulmadan cevap gönderilmez, paket işlenmez, yani bir nevi kuyruk oluşturur.Fakat çoğu ağ yöneticisi bu özelliği kullanmaz, çünkü ağ trafiğini yavaşlatır.Günümüzde çoğu port tarayıcı program bu yöntemi kullanmaktadır.

1.c Network Sniffing

Network Sniffing adı verilen yöntem ağda dolaşan paketlerin görüntülenmesi, ve kaydedilmesine olanak sağlayan bir yöntemdir.Bilindiği gibi çoğu yerel ağ sisteminin (LAN) temelini Ethernet oluşturmaktadır.Ethernet ilk tasarlanırken mühendisler kendi protokollerini test etmek için sniffer programlarını kullanıyorlardı.Fakat günümüzde Network Sniffing genellikle kötü amaçlara hizmet ediyor.Ethernet protokolü veriyi olduğu gibi gönderir, yani veriye herhangi bir şifreleme uygulamaz.İşte bu aşamada Sniffing daha da kolaylaşır.Ayrıca Ethernet protokolü gönderilen bu şifrelenmemiş veriyi bağlı olan tüm düğümlere(node) gönderir.Yani aslında aynı non-switched bir LAN da birbirlerine bağlı iki bilgisayarın birbirlerinin ağ trafiğini incelemeleri, sadece NIC (Network Interface Card) bir değişikliğe bağlıdır.Bu değişikliğin uygulandığı bir NIC üzerine gelen tüm bilgiyi filtrelemeden alır.Yani bağlı olduğu tüm ağ trafiğini inceleyebilir.Bu duruma gelmiş bir NIC ‘e “promiscuous mode” ‘a geçmiş denilir.NIC farklı amaçlara hizmet etmesi için farklı filtreleme metotları vardır.

Unicast D estination Address ’ i NIC ’in kendi fiziksel adresi olan paketleri alır.

Broadcast : Destination Address ’i FF FF FF FF FF FF olan paketleri alır.Bu paketler ağ üzerindeki tüm düğümlere gönderilmek amacıyla oluşturulmuştur.

Multicast : Belirli bir adres veya adres aralığından gelen paketleri kabul eder.Bu adres aralığı NIC ‘in içinde tanımlanmıştır.Ayrıca bir paketin multicast özeliği taşıması için paketin grup bitinin aktif olması gerekir.Yani bir gruba ait olduğunu gösteren bit.Bu biti aktif olanlar NIC ‘ teki listeyle kontrol edilir.

All Multicast :Herhangi bir gruba bağlı yani grup biti aktif tüm paketler NIC tarafından kabul edilir.

Promiscuous : NIC gelen bütün veriyi alır.

Non-switched ağlarda “Packet Sniffing” oldukça kolay.Çünkü filtreleme işlemi NIC ‘ te yapıldığı için bu filtreleme işlemini değiştirme imkanımız var.Switched ağlarda ise durum biraz farklı.Switched ağlarda bahsedilen filtreleme işlemleri, switch yada router ‘ de yapılır.Yani gelen paket hangi adrese gidecekse o adrese yollanır.Switch o adresin nerede olduğunu bilir ve paketi o adrese yollar.

1.d DoS (Denial of Service)

DoS saldırıları günümüzde en yaygın kullanılan saldırı biçimlerinden biridir.Çünkü bir çok saldırı yöntemini içinde barındırır.DoS saldırıları genelde bir ağa ya da kaynağa ulaşımı engellemek için kullanılır.Kendi içinde mantıksal olarak ikiye ayırmak mümkündür: Program tabanlı DoS saldırıları ve Network tabanlı DoS saldırıları.Bu iki saldırıda da iki yöntem kullanılabilir birisi “flooding” diğeri “exploiting”.Flooding’te kullanıcı kurbana çok sayıda paket yollayarak belli bir işlemi çalışamaz duruma getirir.Exploiting yönteminde ise kurbanda çalışan herhangi bir program hedef alınıp bu programın açıklarından faydalanarak program, kullanılamaz hale gelir.Şimdi DoS saldırılarını kısa bilgilerle inceleyelim.

1.d.a DDoS Flooding

Bir makineye yada ağa DDoS saldırısı yapabilmek için bir kişi önceden kendine bir çok kurban makine bulup onlara kendi hazırladığı küçük bir programcık yükler(deamon).Bu programcık bu makinelerde sürekli bu kişiden bir istek bekler.Bu kişi istediği zaman bu programcıkları da kullanarak aynı anda binlerce paketi hedef sisteme yollayabilir.Bu paketler genelde ICMP Echo request yada UDP Echo gibi masum görünen ve sadece basit işlemler için tasarlanmış paketler olabilir.Ama aynı anda binlercesi gelince bu hedef sistemin ağ trafiğinin durmasına ve hatta programların çalışamaz hale gelmesine sebep olabilir.Bu saldırı sisteminden www.yahoo.com gibi siteler bile etkilenmiştir.Günümüzde hala önemini korumaktadır ve paket filtreleyici yazılımları veya donanımlarıyla fark edilememektedir.Akıllıca yapılmış bir DDoS saldırısı farklı IP adreslerinden geleceği için filtreleyici programı şaşırtabilir.Ama çoğu sistem bu tür saldırılara karşı önlemini almıştır.

1.d.b The Ping of Death

Artık günümüzde neredeyse bütün işletim sistemleri bu tür bir saldırıya karşı önlemini aldıysa da zamanında çok etkili bir yöntemdi.Bu yöntemin mantığı şöyle çalışır: ICMP protokolü ağda bilgisayarların hata mesajlarını birbirlerine göndermesini yada “Ping” gibi basit işlemlerin yapılmasını sağlar.ICMP spesifikasyonunda, ICMP Echo request’lerin data kısmı 216 ile 65,536 byte arasında olmak zorundadır.Eğer bu veri sınırlarının dışına taşmış bir paket kurban sisteme yollanırsa işletim sistemi böyle bir şey beklemediği için çalışamaz duruma gelecektir.

1.d.c TearDrop

Bu saldırı yöntemi biraz karışıktır ve IP paketlerinin reassembly yapılmasıyla ilgilidir.Bir IP paketi karşı tarafa yollandığında bu paket tekrar verilere ayrılırken paketin içinde bulunan “offset” bilgisi kullanılır.Bu “offset” bilgilerinin birbirleriyle çakışmaması yani üst üste gelmemesi lazımdır.Özel ayarlanmış bir paket bu senkronizasyonu bozabilir ve paketler üst üste gelirse ve bunu kontrol edebilecek bir mekanizma da mevcut değilse bu işletim sistemini çalışmaz duruma getirebilir.Bu saldırı yönteminden korunma yöntemi IP protokülünün kodlanması ile ilgili olduğundan tamamen işletim sistemi ile alakalıdır.Günümüzde çoğu işletim sistemi bu tür saldırılara karşı dayanıklıdır.

1.d.d Ping Flood

“Flooding” adı verilen olay aslında bir işlemin bir çok kere tekrarlanması demektir.Flooding saldırılarında amaç programa hata verdirmek değil programı işlemez duruma sokmaktır, yani kaldırabileceğinden daha fazla işlem emri vermektir.Daha önce aynı DDoS flooding’te olduğu gibi bu saldırı yönteminde de karşı sisteme binlerce paket yollanır ve bu paketler karşı tarafın ağ trafiğinin akışını durdurabilir.Bu paketler karşı sistemle aramızdaki hızı ölçmeye yarayan ping komutundan başka bir şey değildir.Ama bunlardan binlercesi sistemde ciddi ağ trafiğine yol açar ve kullanılamaz hale gelir.Bu saldırı yönteminde zekice bir taraf yoktur, sadece internet hızı yüksek olan bir sistem daha düşük olan bir sistemin ağ trafiğini kitleyebilir.Günümüzde çoğu sistem bu tür bir sadırıya korunmalıdır.Filtreleme programları bu sadırıları kolaylıkla engeller.Aşağıda örnek bir ping komutu ve sonuçları görünmektedir:

C:\ping www.tcpsecurity.com

Pinging http://www.tcpsecurity.com/ [66.102.11.104] with 32 bytes of data:

Reply from 66.102.11.104: bytes=32 time=119ms TTL=242
Reply from 66.102.11.104: bytes=32 time=126ms TTL=242
Reply from 66.102.11.104: bytes=32 time=165ms TTL=242
Reply from 66.102.11.104: bytes=32 time=178ms TTL=242

Ping statistics for 66.102.11.104:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 119ms, Maximum = 178ms, Average = 147ms

1.d.e SYN Flooding

TCP/IP “stack” denilen bir bölgede tüm bağlantıları tutar.Tekrar eski bilgilerimize dönersek üç yollu el sıkışmadan hatırlayacağımız gibi SYN paketine cevap olarak SYN/ACK gönderiliyordu daha sonra biz tekrar ACK gönderiyorduk ve bağlantı kuruluyordu.Şimdi şöyle bir senaryo düşünelim:Bir kişi bir server’a SYN paketi gönderiyor fakat bu paketin özelliği içindeki “Source ip” kısmı bizim IP adresimizi göstermiyor, tam tersine aslında gerçekte varolmayan bir IP adresini gösteriyor.Bu noktada server bu SYN paketini alıp bağlantı işleminin aslında varolmayan IP adresiyle gerçekleşmesi için bu IP adresine SYN+ACK gönderiyor ve ACK almak için bekliyor.Bu bekleme sırasında IP adresi TCP/IP’nin stack’inde tutuluyor ve biz sürekli bu aslında varolmayan IP adresinden bu sisteme SYN paketleri yolluyoruz.IP adresinde hiçbir sistem varolmadığı için asla ACK paketi gelmiyor sonuçta belli bir süre sonra kurbanın TCP/IP stack’i taşıyor ve ağ trafiği neredeyse işlemez hale geliyor.Bu saldırı yönteminden de korunmak için yine basit bir paket filtreleme sayesinde mümkündür.

1.d.f Buffer Overflow

Buffer Overflow dediğimiz şey hatalı kodlanmış bir programın dışarıdan bir etkiyle belleğinin taşmasına neden olmaktır.Daha açarsak sınır kontrolü yapılmamış bir değişkenine alabileceğinden daha fazla veri atanırsa program bellek hatası verir ve bu hatayı kullanarak özel olarak hazırlanmış bazı kodlar sayesinde programın akışı değiştirilebilir.Bunun en güzel örneklerinden biri daha 1.5 seneyi doldurmamış Sasser Solucanıdır.Bu solucan Windows işletim sisteminde sürekli çalışan LSASS.EXE adlı dosyada bulunan bir Buffer Overflow hatası sayesinde milyonlarca makinaya bulaşabildi.

Bu LSASS.exe ‘nin asıl görevi (Local Security Authentication Server) Windows un kulanıcı işlemlerinin güvenliğini sağlamak ve kullanıcı izinlerini düzenlemekti.Fakat Windows 2000 ve XP yüklü makinelerde bu dosyanın kullandığı bir DLL dosyasında Buffer Overflow tesbit edildi.( (LSASRV.DLL).Bu sayede virüs 445’inci porta bağlanıp, programa istediği işlemleri yaptırıyordu.Daha sonra da LSASS.EXE kapatılıyordu ve 1 dakika içinde de server ‘ a reset atılıyordu.

Kısacası “Buffer Overflow Exploiting” bir programdaki programlama hatalarını kullanarak o programın değişkenlerine ve program akışına dışarıdan erişmeye denir.

Bu tür bir saldırı yöntemini engellemenin iki çeşit yolu olduğunu söleyebiliriz:Birincisi eğer programı geliştiren firma yada kişi bizsek Buffer Overflow hatalarını engellemek için alt seviye bellek fonksiyonlarından ve sınır kontrolü yapmayan değişken işlemlerinden olabildiğince kaçınmalıyız.Örneğin C dilinde, iki string tipinde değişkeni birbirine kopyalamak için kullanılan “strcpy()” fonksiyonu bu tür buffer overflow hatalarına gebedir.Çünkü birinci string’i ikinci string’e kopyalar fakat sınır kontrolü yapmaz.Yani eğer biz değişkenlerden herhangi birinin büyüklüğünü statik olarak girmişsek bu programda bellek taşmasına yol açacaktır.Örneğin aşağıdaki C programında çok basit bir buffer overflow görülmektedir:

int main(int argc, char *argv[])
{
char Buffer1[4];
char * Buffer2;
Buffer2 = “AAAAOverFlow”;
strcpy(Buffer2,Buffer1); // işte tam burada Buffer Overflow mevcuttur.
return 0;
}

Kodda görüldüğü gibi ilk 4 byte ’ tan sonra yazılan “OverFlow” kelimesi tam anlamını yansıtmaktadır.Bu pogram çalıştığında Buffer Overrun hatası verecektir.Ama OverFlow sözcüğü program stack ’ inin kritik kısımlarını etkileyecektir.

1.e TCP/IP Hijacking

TCP/IP Hijacking bir A sisteminin B sistemi ile C sistemi arasında kurulan bağlantıya sızarak kendini C sistemine B sistemi olarak göstermesi demektir.Peki bu iş nasıl yapılır?Öncelikle şunu söylemeliyimki bu tür bir saldırı için network sniffing kullanılacağı için A sistemi ile B sistemi aynı ağ üzerinde olmalıdır.

Bilindiği gibi TCP güvenilir bir protokoldür.Güvenilirden kastım her paketin karşı tarafa ulaşıp ulaşmadığı kontrol edilir ve sonra gitmesi gereken paketin önce gitmesi gerekenden daha önce gitmesi gibi senkronizasyon problemlerinin aşılması için her pakete belli senkronizasyon numaraları verilir(“sequence number”).Bu numaralar sayesinde iletişimde bulunan iki program gelen giden paketleri sırasına göre alıp sırasına göre işleyebilir.Eğer A sistemi “network sniffing” sayesinde B sisteminini tüm gelen giden paketlerini incelerse, B sisteminin C sistemiyle olan bağlantısında o andaki “sequence number”’ını tahmin edebilir.Bu hesapladığı sequence number ve B sisteminin IP adresini source IP olarak kullanarak karşı tarafa bir paket yollarsa, C sistemi doğal olarak artık A sistemini B sistemi olarak algılayacaktır.Bu sırada B sistemi C sistemine bir paket gönderse bile aralarındaki senkronizasyon numaralarında hata oluştuğu için artık C sistemi B sistemini tanımaz.Bu çeşit bir saldırının engellenmesi imkansızdır.Yapabileceğiniz tek şey ağda bir sniffer olup olmadığını araştırmak olacaktır.(bkz.Network Sniffers)

1.e.a RST Hijacking

RST Hijacking iki sistem arasında kurulan bağlantıyı dışarıdan kesmek için kullanılır.Bilindiği gibi RST Kontrol Biti TCP başlığında tanımlı spesifik bir bittir.Bu kontrol bit’i 1 olduğu zaman iki sistem arasındaki bağlantı sona erer.Eğer biz doğru ayarlanmış bir paketi iki sitemden herhangi birine RST biti 1 olarak olarak gönderirsek iki sistem arasındaki bağlantıyı dışarıdan kesmiş oluruz.Burada dikkat edilecek nokta yine TCP Başlık formatında tanımlı “acknowledgement number” dediğimiz kısımdır.Bu 32 bitlik kısım, sistemin bir sonra alacağını varsaydığı paketin “sequence number”’ını içerir.(bkz.TCP Hijacking:Sequence Number).Eğer biz source ip kısmını iki sistemden birine ayarlayıp “acknowledgement number”’ıda bulabilirsek ve RST bitini de 1 olarak ayarlarsak, bu paketi alan sistem, bağlı olduğu diğer sistemin bağlantıyı kesmek istediğini sanarak bağlantıyı bitirecektir.Bu saldırı yönteminden de korunmak neredeyse imkansızdır.Fakat 32 bitlik bir sayıyı tahmin etmek imkansıza yakındır.Yani aynı TCP/IP Hijacking ‘te olduğu gibi, bu saldırının gerçekleşmesi için saldıranın kurban sistemle aynı ağda olup trafiği bir sniffer aracıyla izlemesi gerekmektedir.Bu noktada bu saldırıyı engellemenin tek yolu ağda sniffer kullanımını bloke etmekten geçer.

1.f Shattering (Mesajlaşma sistemi açıkları)

Bu saldırı yöntemi aslında çok yeni değildir fakat son günlerde hacker’ ların ilgisini biraz daha çekmiştir.Bu yöntemde Windows’un mesajlaşma sisteminin zayıflıklarından faydalanılır.Windows’ta daha önce API düzeyinde programlama ile uğraşan herkesin bileceği gibi Windows işletim sistemi mesajlaşma sistemi üzerine kurulmuştur.Bundan kastım, oluşturulan her kontrolün kendine özgü bir “handle”’ı vardır.Sistem bu “handle”’lar arasında giden mesajlar sayesinde işler.Örneğin Windows’ta bir düğmeye tıklandığında WM_LBUTTONDOWN mesajı bu düğmeyi içeren form’a gönderilir ve işlemler orada gerçekleşir.Bu şekilde binlerce mesaj aynı anda farklı programlarda işlenebilir.Fakat bu sistemin de bir takım zayıflıkları vardır.Windows bu mesajı gönderenin kim olduğuna bakmaz, yani daha açarsak, mesaj dışarıdan başka bir programla da rahatlıkla gönderilebilir.BU zayıflıkta diğer programın ilk programı kullanarak bazı haklar elde etmesine yol açabilir.Örneğin Microsoft’un Windows 2000 SP3’e kadar ürettiği Windows versiyonlarda WM_TIMER mesajı ile ilgili bu tür bir açık mevcuttu.Bu açık sayesinde kötü niyetli bir kişi başka bir programı kullanarak yetkisi dahilinde olmayan işlemleri gerçekleştirebiliyordu.Bu saldırı yöntemini birisinin gerçekleştirebilmesi için saldırıyı yapacağı makineyi kullanıyor olması gerekmektedir.Yani dışarıdan bir tehlikesi yoktur.Bu saldırı yöntemi ile bir kişi administrator yetkisi olmayan bir sistemde administrator yetkisini kolaylıkla kazanıp ağda bir takım değişikler yaparak o makinenin bağlı olduğu ağın tümünü kullanılmaz hale getirebilir.