Hacker'lar sitelere işte böyle saldırıyor!

Büyük bir hacker saldırısı düzenlendiğinde, olayın medyaya yansıması genellikle çok gösterişli olur. Bu saldırı, çok önemli bir olaymış gibi ve saldırıyı düzenleyen hackerlar, inanılmaz yeteneklere sahip bilgisayar kurtları olarak gösterilir. Bu doğaüstü yetenek benzetmesi, elbette gerçeği yansıtmıyor.

Bazı basit araçları ve mantıksal bir yaklaşım kullanan hackerlar, web sunucularını keşfedilmeye hazır oyun alanları haline getirebiliyorlar. Tabi ki, elde ettikleri bu keşif imkânını çoğunlukla siteleri kendi çıkarları doğrultusunda kullanmak veya sitelere zarar vermek için kullanıyorlar.

Peki, web site yöneticileri olarak açıklardan ve getirecekleri olası tehlikelerden nasıl korunabilirsiniz? Açıklardan korunmayı öğrenmenin en iyi yolu, hackerların yaklaşımını tahmin etmekten geçiyor.

Bu makalemizde, hackerların bir saldırıyı nasıl planladıklarını ve hedeflerini ana çizgileriyle anlatacağız.

Hedefi izleme

Bir saldırgan, herhangi bir web sitesini incelemeye değer bulursa, ilk adım olarak hedefine ilişkin temel bir tablo oluşturmaya çalışır. Bu tablo, sitenin bir haritası gibidir ve hedefin hangi bloklardan oluştuğunu, bu blokların birbiriyle olan ilişkisini anlamasını sağlar.

Ne yazık ki, web sitelerinin rutin işleyişi bile saldırganların hiçbir emek harcamaksızın bilgi edinmelerini sağlayabilir. Örneğin, sitede bir üyelik girişi gerçekleştiriyorsa; saldırganlar, kullanıcı adlarının ve şifrelerinin bulunduğu bir veritabanı olduğunu öğrenmiş olurlar. Bu örnekteki üyelik sistemi sitenin bir bloğunu oluşturur.

Eğer söz konusu olan bir alışveriş sitesiyse; özel ihtiyaçlara yönelik olarak elle girilmiş birçok kod söz konusudur ve saldırganlar kodlarda acemice yapılabilecek potansiyel açıkları ararlar.

Bunun yanında saldırganlar, reklam sağlayıcıları ve siteye bağlı harici besleme kodlarını da inceler. Ayrıca alan adının DNS kayıtlarından da faydalanırlar.

DNS kayıtları tüm internetin basit adreslerle ulaşılabilir olmasını sağlıyor olabilirler, ancak DNS sunucuları aynı zamanda halka açık bilgi kaynaklarıdır.

DNS bilgileri

Windows ve Linux'ta DNS sorgulama araçları mevcuttur, ancak bunlar karmaşık komut satırı uygulamalarıdır. Neyse ki kolaylıkla DNS sorgulaması yapabileceğiniz, Kloth.net gibi sayısız web sitesi mevcut. Bu gibi sitelerde sadece ilgilendiğiniz alan adını yazıp giriş tuşuna basmanız yeterlidir. Gelecek yanıt sayfasında, alan adına ilişkin IP adreslerini görebilirsiniz.

Alan adı sorgulamasını, başına www. ekleyerek yapmanız durumunda, sunucu bilgilerine ulaşmanız mümkün olur. Aynı şekilde, alan adına ilişkin mail sunucularına ait bilgiler de edinilebilir.

Bu sorgulamaların bir başka önemli adımı ise nmap gibi, bir port tarayıcısı kullanmaktır. Bu sayede sunucu üzerinde hangi servislerin çalışmakta olduğu keşfedilebilir.

Nmap, açık olabilecek portlara, özenle hazırlanmış paketler gönderir ve gelen bilgileri değerlendirir. Gelen bilgi ise hangi hizmetin aktif olduğunun yanı sıra, sunucunun işletim sistemi gibi ayrıntılı bilgiler de içerebilir. Böylece saldırganlar, saldırı planlarını bu bilgilere göre şekillendirebilirler.

Web uygulamaları - 1

Saldırganlar, hedeflerine ilişkin bir tablo oluşturduktan sonra dikkatlerini web uygulamalarına yöneltirler.

Bilgisayar dünyasının bir gerçeği olarak hiçbir uygulama hatasız değildir ve saldırganların şansına; çok yetenekli olmayan programcılar, web uygulamalarında genellikle aynı varsayımları ve benzer hataları yaparlar.

İlk adım, uygulamaların nasıl işlediğini haritalandırmaktır. Saldırganlar sitede gezinerek, sayfa isimlerini, içeriklerini, hangi sayfaların üyelik gerektirdiği gibi bilgileri not ederler. Böylece, sitenin dizin yapısı hakkında önemli bilgiler edinirler.

Siteye ilişkin dizin haritalandırması saldırganlara, programcının yetenekleri hakkında da bilgi sağlar. Zira bazı belirli dizin yapıları, site oluşturma programlarında kullanılır. Böylece saldırganlar, söz konusu programın bilinen açıklarını kullanarak siteye saldırı düzenleyebilirler.

Web uygulamaları - 2

Saldırganlar, bilgi giriş kutularının kullandığı yöntemleri de not alırlar. Kutular GET yöntemini mi, POST yöntemini mi kullanmaktadır? Her ikisi de sitenin hangi işleme yöntemlerini kullandığını belirtir ve sistemin zayıflıklarını test etmek için kullanmalarını sağlar.

İnternet adresi, sitenin ana dizinini göstermek üzere ayarlanmıştır ve saldırganlar farklı dizin adları ekleyerek neye ulaşabileceklerini öğrenmeye çalışırlar. Örneğin, www.kurbansite.com adresini hedef alan saldırgan, www.kurbansite.com/admin gibi bir adresi deneyerek, yönetim paneline erişip erişemeyeceğini görmeye çalışır.

Gizli klasörleri öğrenmenin bir diğer yolu da, robots.txt dosyasıdır. Bu dosya, arama motorlarına yönelik bilgi sunmak için bulunur ve onlara hangi dizinlerin listelenip, hangilerinin listelenemeyeceğini gösterir. robots.txt dosyası, bir saldırganın bilmemesi gereken verileri içerebilir. Bu sebeplerle bilinmemesi gereken sayfaların bilgilerini bu dosyalarda vermemek ve bulunmasını istemediğiniz dizinlere belirgin isimler vermemek önemlidir.

Bunların yanında CSS dosyaları, gömülü kodlar gibi içerik bilgileri de, saldırganlara programcının yeteneği hakkında bilgi verir ve hangi açıkları arayacakları hakkında ipucu edinmelerini sağlar.

Saldırı başlıyor

Saldırgan artık; gizli klasörlerin listesine, işletim sistemi bilgilerine, olası açıklara ilişkin tahminlere ve sitenin temel haritasına sahiptir.

Seçebileceği birçok adım vardır. Bunlardan en basiti bir şifre kırıcı yazılımı, yönetici girişine yönlendirmek ve giriş şifresini bulmasını beklemektir. Böylece bilgi çalabilecek, bunları satabilecek ya da basitçe sitenin giriş sayfasını değiştirebilecektir. Bu girişimler daha çok, hacker olduğunu iddia eden gençler, yani lamer olarak tabir edilen kişilerce kullanılır.

Gerçek hackerlar daha ziyade sitedeki zayıflıkları keşfetmeye yönelirler. Örneğin SQL hizmetini inceler, bir telnet istemcisini veritabanı yönetim sistemine bağlamayı denerler.

Daha bilgili hackerlar ise denemeye devam edecek ve veritabanına müdahale etmeye çalışacaklardır. Sonraki girişimleri, tüm veritabanı tablolarını listelemek olacaktır. Kullanıcı bilgilerine veya kredi kartı bilgilerine ulaşmaları durumunda, yegâne hedeflerine de ulaşmış olacaklardır.