Popüler İnternet Kültürü

IEEE Standartları ve Kablosuz Ağlar:

Kablosuz ağlara girmeden önce IEEE nin kablosuz ağlar hakkındaki standartalrını anlamak çok önemlidir.

IEEE (The Institute of Electrical and Electronics Engineers) 802.X adı altında; Yerel ağlar (LAN – Local Area Networks), Metropol ağlar (MAN – Metropolitan Area Networks) ve BlueTooth gibi Kişisel ağlar (PAN – Personel Area Networks) için standartlar çıkartmıştır. IEEE nin 802 si, OSI’nin son 2 katmanı olan Ortam Ulaşım Kontrol (MAC – Media Access Control) veya Bağlantı Katmanı (Link Layer) ve Fiziksel Katman (Physical Layer) daki süreç standartlarını ve işlemleri sınırlandırmıştır.

IEEE 802 LAN/MAN/PAN standartları komitesi kendi içinde 802.1 den 802.17 ye kadar çalışma gruplarına ayrılmıştır. Böyle ufak çalışma gruplarına ayrılmalarının yararı, her grubun kendi farklı konularını ve geliştirme standartlarını sağlamalarıdır.

Bu tanım içindeki en önemli çalışma grupları şunlardır :

- 802.1 – Güvenlik ve diğer konular
- 802.2 – Mantıksal Bağlantı Kontrolleri (LLC – Logical Link Control)
- 802.11 – WLAN’lar için standartlar üretmek (Kablosuz lokal ağlar)
- 802.15 – WPAN’lar için standartlar üretmek (Kablosuz kişisel ağlar)

802.1 ve 802.2, kablosuz lokal ağlar için uygulanmaktadır. Her çalışma grubu kendi içinde görev gruplarına ayrılmışlardır. Bu görev grupları çeşitli ihtiyaçların sağlanması ve standartların geliştirilmesi üzerine çalışmaktadır.

Kablosuz ağlar kurmak için şu anda kullanılan ana standart IEEE 802.11 dir. IEEE 802.11 ilk olarak 1999 da yayınlanmıştır ve 2.4 Ghz de 2Mbps (DSL bağlantı gibi) hızında veri iletişimi için tasarlanmıştır. Ayrıca Frequency Hopping Spread Spectrum (FHSS) veya Direct Sequence Spread Spectrum (DSSS) kullanılmak üzere tasarlanmıştır.

DSSS in anlamı; belirlenmiş menzil içinde herhangi bir zamanda kullanılmak üzere, verinin uygun değişik frekanslarda küçük paketler halinde yollanılmasıdır.

Read more…

BotNet Kurulumu İçin Gerekli olan Materyaller;

1-)IRC Server ( Unreal IRCd v.s. )

2-) BotNet Source ( Bu konunun sonunda (“IMBot 4.1″) vereceğim.)

3-) Visual C++ 6

4-) Microsoft Platform SDK

5-) Biraz Cesaret. ;)

Geçelim Kuruluma.Öncelikle vereceğim Sourcenin Özelliklerini belirteyim..

* USB Spread ( Zombie Bilgisayara takılan Flash Disk v.b donanımlara kendini autorun.inf içine otomatik olarak kopyalar.)
* MSN Spread ( Bu resimdeki senmisin hikayesi :) )
* Triton Spread
* AIM Spread
* SUPERSyn DDos Fonksiyonu. ( Etkili bir DDos Fonksiyonu )
* Dosya indirme Fonksiyonu.
* Vee.. Rar Inject ! ( Zombie PC’deki Bütün Rar dosyalarına kendini ekler – Sh0cK’s Special ;) )

Evet bi kaç temel bilgiyi verdikten sonra kuruluma başlayalım.Botnet Server için size önerebileceğim server :
irc.opera.com . Eğer Küçük bir bot ağı kurmak istiyorsanız burayı kullanın.Ama size tavsiyem, size özel bir irc server.

Herneyse, verdiğim Source’nin config.h dosyasını açıp gereken yerleri size özetliyeyim.

Read more…

Exe’ye exe gömmek istiyorsanız;

İlk Önce Oluşturmak İstediğiniz Dosyayı ” C: ” Dizinine Kopyalayın, ” C: ” Dizininde Bir Text Dosyası Oluşturun, Ve Text Dosyasına Kod:
Rapier EXE “C:\\Rapier.exe” (Bunda problem oluyorsa “EXE1 rcdata Rapier.exe” şeklinde yap bu şekilde istediğin kadar göm )
Yazın Ve Dosyayı Rapier.rc Olarak Kaydedin.
Komut Satırını Açın(Başlat/Çalıştır/Cmd) Ve Kod:
brcc32 Rapier.rc
Parantez İçindekini Yazın (Rapier.rc Dosyası Nerede İse Orayı Yazın)). Kod:
C:/>brcc32 Rapier.rc
Enter’a Bastığınız Zaman C:’de Rapier.res Dosyası Oluşmuş Olması Lazım. Res Dosyasını Alıp Ekleyeceğimiz Programın Olduğu Klasore Atıyoruz Ve Kodunda Kod:
{$R *.DFM}
Bu Şekilde Bir Yazı Olacak Bunun Yanına Kod:
{$R Rapier.RES}
Bunu Ekleyin. Implemention’un Altında Kod:
{$R *.DFM} {$R Rapier.RES}
Böyle Görünmesi Gerek!!!
Read more…

Hergün tarayıcılarımıza onlarca adres yazıp internette geziniyoruz.Ama işin arka tarafını hiç düşünmüyoruz yada aklımıza gelmiyor .Gezdiğimiz sitenin IP sini bilmyoruz , bilsek bile unutuyoruz . Ben tarayıcıma netkabus.com diye yazıorum çünkü benim aklımdaki adres bu. 89.149.214.82 bu adres akılda tutulmaz , peki ben tarayıcıma netkabus.com yazdığımda bunu IP adresine çeviren nedir ? işte bunun adı DNS ’dir . Domain Name System (DNS) günümüz teknolojisinde isim çözümleme sistemi için kullanılır. Her bir makinenin numeric olarak bir ismi vardır ama akılda kalması zor olduğu için alphanumeric isimleri biliriz genelde. Örnek vermek gerekirse netkabus.com alanın numeric ismi 89.149.214.82 olduğunu varsayarsak hangisinin aklımızda daha uzun kalacağını siz düşünün.

Domain Name System bu noktada bize alphanumeric isimleri bilerek numeric isimlere ulaşmamamızı sağlar. Özet olarak ; alphanumeric isimleri numeric isimlere çevirmesidir.Bu numeric ve alphanumeric adresler hosts dosyasında yer alır . Network üzerindeki alet edevatın DNS’sine hostname denir.Network üzerinde bulunan bilgisayarlar hostname ile iletişim kurarlar ,ve bu hostname karşılık gelen IP adresleri bulunur . doruk.net.tr den örnek verecek olursak ; dns2.doruk.net.tr (212.58.3.2) buradaki DNS2 hostname’dir . doruk.net.tr de sufix gibi bişey oluyor . Hostnameler en fazla ASCII 255 adet olur . Dns server üzerindeki bi hostname 2 adet farklı Ip de yazılabilinir . Kendinizdeki hostname ’ yi görmek için Başlat – Çalıştır’a ipconfig /all yazabilirsiniz .

Read more…

Yeni hazirladigim bir egitim icin DNS Cache Poisoning acikligini test eden uygulamalari test ediyordum. Normalde dig ya da nslookup kullanarak aciklik testini gostermeye calisiyorum fakat her zaman bu ikilinin parametreleri hatirlanamiyor. Dolayisi ile bu isi web uzerinden yapan bir servis isimi oldukca kolaylastiracakti. Internette bu sekilde cesitli servisler var fakat ben IANA’ninkini tercih ettim.

Verilen servisin ne kadar saglikli ciktilar urettigini test etmek isterken aklima acaba son acikliktan sonra hala dns sunucularinda gerekli onlemleri almamis birileri var mi diye merak ettim ve sonuc gercekten korkuttu. Aralarinda  devlet/özel üniversite Turkiye’nin en hassas kurumlari, telco sirketleri , medya sirketleri ve guvenlik uzerine is yapan sirketler ve bu konuda bilincli olacagini dusundugum arkadaslarin sistemleri olmak uzere 10-15 sisteme baktim .Cogu hala gerekli onlemi almamis gorunuyordu. Buradan benim cikardigim sonuc: guvenlik isini hakettigi kadar ciddiye almadigimizdir. Ne demis atalarimiz “bir musibet bin nasihatten evladir”. Henuz bizdeki hacker tayfasinin teknik kapasitesi web sayfalarini deface etmenin uzerine cikamadigi icin simdilik musibet konusunda rahatiz fakat ilerde bu bakis acisi degisecek ve web sayfalarindan istedigini elde edemeyeneler daha komplike saldiri yontemlerine basvuracak.

Aciklik ciktiktan sonra bunu duymamis olma ihtimalimiz yok ama nedense kendi sistemimize bir bakip bu zaafiyetten etkileniyor mu kontrol etmiyoruz -edenleri tenzih ederim-. Belki usengenclik belki “adam sendecilik” ne dersek diyelim  bir yerler eksiklik kaliyor hep…

Huzeyfe ONAL

Mitm(Man in the middle)-ortadaki adam saldirisi TCP/IP aglarda uygulanan ve basari orani oldukca yuksek bir saldiri tipi.

Ag guvenligi konusunda kulaktan dolma bilgisi olanlarin bile hakkinda bilgi sahibi oldugu bu saldiri tipi hep bilinip hic koruma alinmayan saldiri tiplerinin de en iyi ornegi. Konu hakkinda cesitli koruma yontemleri ele aliniyor fakat hemen hemen hepsi bir yerde etkisiz kalabiliyor (Switch seviyesinde alinmayan onlemler).

Bu tip araya girip veri calma/degistirme saldirilarinin basarisi saldirganin hedef sistem ile sizin sisteminizin iletisimi esnasinda(baslangicinda, ortasinda vs) araya giren birilerinin kendilerini hedef sistemmis gibi gosterebilmesidir. L2 seviyesinde trafigi uzerine alan biri bilgi ve becerileri seviyesinde trafik uzerinde her tur islemi yapabilir. Buna “https” trafigi ve cesitli sistemlere login olurken kullanilan OTP (one time password) sistemler de dahil. Zira trafik uzerimizden akiyordur ve %100 mudahele imkanimiz vardir.

Bugune kadar bu tip basit ama hala onemini koruyan saldiri tiplerine karsi koruma yontemi olarak genelde statik ARP kayitlari kullanilmasi oneriliyor. Yani hedef sistem (genelde router) in MAC adresini kendi sisteminize sabit ve degistirilemez olarak girmek.

Bu yontem bir dereceye kadar koruma saglayabilir ama saldirgan biraz kafayi calistirip sizin sisteminiz ile Router/Gateway arasina degil de Gateway/Router ile sizin araniza girerse devre disi kalir. Yani kulagini duz tutmak yerine tersinden tutarsa sizin aldiginiz onlem ise yaramayacaktir.

Sizin sisteminizden cikan trafik dogrudan Router’a gidecektir oradan da hedefine fakat donen trafik Router’a ordan da araya girmis olan saldirgana, saldirgandan sonra da sizin sisteminize dogru gidecektir. Yani gidis paketleri uzerinde degil ama donus paketleri uzerinde tam bir hakimiyet soz konusu. Yine kafasini calistiran bir saldirgan bunu kullanarak istedigi bilgiyi alabilir ve degistirebilir.

Korunma icin her iki sistemde de statik MAC adresleri kullanmak gerekebilir. Fakat DHCP calistiran aglarda ip-mac sabitlemesi pek mumkun degildir(lease surelerini cok uzun tutarak ya da dhpc’den mac adresine gore ip atamasi yapilabilir). Dolayisi ile cozum yine donanim seviyesinde cozmeye kaliyor.

http://blog.lifeoverip.net/2008/01/27/mitm-saldirilarini-cift-yonlu-engelleme/

Kötü niyetli yazılımlarla savaşmaya niyetli olan Microsoft normal kullanıcılar için tasarladığı Vista da birçok yeni güvenlik önlemi getirdi. Bu güvenlik amaçlı özelliklerden ilk akla gelenler UAC (user account control), DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization), bitlocker, yeni firewall ayarları, vb…[1]. Ama bu saydığım özelliklerin hepsi kullanıcı (user) mod da geçerli olan özellikler.

Tespit edilmesi ve temizlenmesi en güç olan Kernel modda çalışacak olan rootkitler için ise en dikkat çekici özellikler KMCS(kernel mode code signing) ve Patchguard[2]. Maksat bilineni değil bilinmeyi göstermek. Ben de bu yazımda bu iki güvenlik önlemini aşıp, acaba bir rootkit yükleyelebilir miyiz dedim ve araştırdım. Sonuç olarak biraz uzun sürdü, ama sanırım bir şeyler başardık. Bu çabamı da şimdi yazıya dökmeye çalışacağım.

Read more…

Bu makalede binlerce HTTP-GET isteği ile yapılan DDoS atakları karşısında nasıl davranmamız gerektiği irdelenecektir. Ayrıca atağın boyutuna göre sırası ile almamız gereken önlemler anlatılacaktır. Bildiğimiz gibi DDoS, birçok firmanın başını ağrıtan ve bazı durumlarda önlenmesi çok güç olan bir atak türüdür. En başta basit olarak senaryomuzu çizelim:

• Linux Sunucu
• Apache Web Sunucu
• Alan ismi : www.xx.com

Yukarıda belirtildiği gibi üzerinde Apache Web Sunucusu çalışan bir sunucumuz bulunmakta. Web sunucumuz üzerinde çalışmakta olan www.xx.com adresine saniyede binlerce IP adresinden HTTP-GET isteği yapılmaktadır.
Bu durumda Apache belli bir sure sonra bu isteklere yanıt verememeye başlayacaktır. Eğer istekte bulunulan sayfanın bağlandığı bir veritabanı sunucumuz mevcut ise, bu istek veritabanımızın da  yanıt verememesine sebep olacaktır.

Read more…

Bu yazıda, kapalı ağ kapılarına önceden belirlenmiş bir şekilde bağlanmaya çalışarak ateş duvarında istenen ağ kapılarını açmaya yönelik bir yöntem olan port knocking (kapı çalmak) yöntemi açıklanacak ve örnek bir Linux kurulumu gösterilecektir.

Kapı çalmak metaforu, günlük hayatta kullanılan, kapının çalınma şekline göre kimin çaldığını ayırdetmek ve farklı tepki göstermek (yanıt vermemek ya da kapıyı açmak) şeklinde gelişen iletişim biçimine gönderme yapmaktadır. Buna benzer bir şekilde, kapıyı çalan ve kapıyı dinleyen iki uygulamadan yararlanarak kurulan bir sistemde, ağ kapıları sadece bilinen istemcilerin erişimine açılabilir ve böylece özellikle sadece yönetim amacıyla uzaktan erişime açık bırakılması gereken servislerin (ssh, ftp, tftp, v.b.) denetlenmesi sağlanarak kapı taraması (port scanning) saldırılarından kısmen korunulabilir.

Read more…

Günümüzde artan bilgisayar korsanlığı ve internet üzerinden gelen saldırılar, savunma sistemlerinin de gelişmesinde büyük bir rol oynamaktadır. Savunma sistemlerini ise doğru ve bilinçli bir şekilde kullanmamız gerekmektedir. Uzman olmayan kişiler tarafından kullanılan savunma sistemleri, sistemize zararlı aktivitelerin yapılmasına sebep olmaktadır. Savunma stratejimizi belirlemek için, saldırgan profilleri ve saldırı çeşitlerini tespit etmemiz gerekmektedir. Burada Saldırı Tespit Sistemleri (STS) devreye girmektedir. Saldırı Tespit Sistemleri, kendisine ulaşan veri paketlerini inceleyip, belirlenmiş izler (signature) aracılığı ile saldırı ve bilgi toplama aktivitelerinin kayıtlarını tutmamızı sağlar. Bu yazımızda Saldırı Tespit Sistemlerini ayrıntılı bir şekilde inceleyip, kullanım şekilleri ve yararlarını tartışacağız.

Read more…

Bu yazı bir IDS sistemine yakalanmadan port taraması yapmayı mümkün kılacak bazı fikirler sunacaktır. Ayrıca bir güvenlik duvarını kandırma ve sahip olunan avantajlardan bahsedilecek.

Orjinali: SnakeByte

Bu yazı TCP/IP yada diğer altseviye protokoller hakkında değil fakat amaca ulaşmada kullanılabilecek yüksek seviye protokoller ile ilgili. Bazı perl kaynak kodları sunacağım ve karşı önlemlerden bahsedeceğim.

Buna kafayı, ilk olarak bir hosta TCP tam bağlantı taraması yaparken gerçek IP`min ortaya çıkmaması için mümkün olabilecek yollar düşünürken taktım. Her sistemde kolayca çalışabilmeli, bazı windows ve unix sistemlerde root hakları
gerektiren raw IP paketleri yaratmaya gerek olmamalı. O yüzden istenen bilgiyi elde etmek için bir ftp sunucusu kullanan ftp sıçrama taraması (bounce scan) gibi olmalı.

Read more…

Internet veya ağa bağlı sisteminizle başka bir sisteme bağlanacaksınız, ama bu bağlantın sizin tarafınızdan yapıldığını gizlemek istiyorsunuz. Bunun için bağlantı sırasında kimliğinizi (ki TCP/IP protokollerinde kimliğiniz IP adresinizdir), yanlış gösteriyorsunuz. İşte bu yaptığını işleme IP Spoofing denir ( Hani bunun teknik makale üslubu? ). Yani yaptığınız bağlantıda IP adresinizi karşıdaki bilgisayara farklı gösterme işlemine IP Spoofing denir.

IP SPOOFING YÖNTEMLERİ:
IP Spoofing iki şekilde yapılır. Proxy/Socks sunucularını kullanarak, veya IP paketlerini editleyerek. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC bağlantılarında IPyi gizlemek için kullanılır. IP paketlerini editleyerek yapılan IP Spoofing çok etkilidir ve genel olarak D.o.S saldırılarında veya session-hijacking yönteminde kullanılır.

Read more…

Mail server sisteminizde, yaptığınız güvenlik araştırmaları sonucu mail sunucunuzun teyid etme komutlarına izin verdiğine yönelik bir açık buldu iseniz, bu ne anlama geliyor ve ne yapmanız lazım?

Mail sunucunuzdaki bu açık, saldırganın mail sunucunuzun IP numarasına port 25 üzerinden telnet servisi ile bağlanarak, çıkan telnet ekranında expn komutu ile kullanıcı listesine erişebilir, mail sunucular genellikle kullanıcların listesini içerirler, saldırgan bu liste sonucunda email hesaplarına spam göndermeyi, ya da yöneticilerden birine ait email hesabını kırmayı deneyecektir. Bir network sisteminin kırılmasındaki en etkili yöntem, sistemin DMZ ötesinde, yani içerisinde olan birisinin kullanıcı bilgilerine ulaşabilmektir. Expn konutu ile kullanacı listesi almak için;

“expn all-user” komutu kullanılır

Read more…