RSS
| 206 GÜNCEL | KAPAK | DONANIM | YAZILIM | HI-TECH ___I___N___T___E___R___N___E___T___ Google Hacking PRATİK | CHIP | MART 2005 Korsanlar karşısında ne parolalarınız güvende, ne de kredi kartı numaralarınız ya da fakslarınızın kopyaları. CHIP’in gerçekleştirdiği bir saha araştırması, önemli bilgilere izinsiz erişimin aslında ne kadar kolay olabileceğini gösteriyor. ___G___o___o___g___l___e___ ___i___l___e___ ___c___a___s___u___s___l___u___k İnternetteki en tehlikeli web sayfası Google arama motoruna ait. Bu sayfayı bilmeyen yok, herkes bir şeyler aramak için kullanır ve aradığı hemen her şeyi de bulabilir. Ancak pek az kişinin bildiği bir şey var, o da Google’ın basit belgelerden tutun da parolalar içeren çok önemli dokümanlara kadar ağda korunmasızca saklanan tüm dosyaları indekslediği. Bunun sorumlusu, bilgileri herhangi bir koruma mekanizması kullanmadan, web sunucularında bilinçsizce saklayan dikkatsiz web sitesi yöneticileri. Her geçen gün daha çok korsanın ilgisini çeken Google Hacking, saldırganların şifreleri öğrenmek ve açık portları taramak için karmaşık araçlar kullanmasına gerek kalmadan, önemli firma sırlarına ulaşmalarına adeta davet çıkarıyor. CHIP, bu arama motoruyla tam olarak neler yapılabileceğini araştırdı. İnternetteki gezintimiz sırasında hayal bile edilemeyecek şeyler ile karşılaştık. Bunlar arasında Enron, Sun ve Siemens gibi çok büyük kuruluşlara ait gizli Powerpoint sunumlarının haricinde, çeşitli e-posta yedekleri, en son kullanılan mektubun da içinde olduğu faks cihazları ve özel kullanıcılara ait her türden parola ve kredi kartı numarası bulduk. Bu sırada bir kez olsun karşımıza parola engeli çıkmadı. Birkaç basit ve yaratıcı arama kriteri yeterli oldu ve Google, bulduğu sonuçları bize gümüş tepside sundu. Karşılaştığımız güvenlik açıklarını bildirdiğimiz yetkililerin birçoğu, çalışma arkadaşlarının dikkatsizliği karşısında çok şaşırdıklarını dile getirdiler. Ancak Google dosyaları zaten uzun süredir indekslediği için bu sorun çok da yeni sayılmaz. Google Hacking konusunda önde gelen kişilerden olan Johnny Long bu sorunun varlığını, “Google Hacking, her geçen gün yeni bir numara öğrenen eski bir köpek gibi,” sözleriyle dile getiriyor. Aslında tüm bilgilerin Google’da ortaya çıkması şaşırtıcı bir sonuç değil.Arama motoru, yasal yollardan devamlı olarak internette araştırma yapan binlerce Webcrawler’a, yani Bot’a sahip. Google, ayrıca Opera gibi ortaklardan da devamlı olarak bilgi alıyor. Bu web tarayıcısının reklam ile finanse edilen sürümü, kullanıcıların girdikleri tüm adresleri Google’a gönderiyor ve bu sonuçlar Opera’nın uygun reklam çubuklarını gösterebilmesi için burada değerlendiriliyor. Ayrıca başka bir Google Bot da girilen URL’nin veritabanına eklenebilmesi için söz konusu sayfayı ziyaret etmekle yükümlü. Buna bir de Google ana sayfasındaki destek bölümüne giderek kendi adreslerini giren site yöneticilerini ekleyin. Olmaması gerektiği halde Google indeksinde yer alan şeyleri aşağıdaki örneklerde göreceksiniz. Firmaların ve özel kullanıcıların gizli belgeleri Google, doğru arama kriterleri kullanıldığında çok önemli bilgileri sadece birkaç saniye içerisinde görüntüleyebilir. Bunun için gerekli tek şey arama kriterleri ve operatörlerin doğru seçimi ve bileşimi. Bunu denemek istiyor ve firmalardaki yeni stratejilerin genellikle Powerpoint sunuları kullanılarak hazırlandığını göz önünde bulunduruyoruz. Bu dosyalar “PPT” uzantısına sahip. Buradaki bilgilerin yayınlamaması gerektiğini herkesin bilmesi için tüm slaytlar üzerinde muhtemelen “confidential” (gizli) veya “for in- ___G___o___o___g___l___e___ ___H___a___c___k___i___n___g google*** 21/2/05 3:16 Page 206 207 CHIP | MART 2005 çözümleri için de kullanıyor. Bunun sonucunda bazı kullanıcılar, sahip oldukları web sunucularında MP3 ve yazılımlar bulunduğu ve bunları farkında olmadan kanunlara uygun olmayan bir şekilde indirilmeye sundukları için IFPI (International Federation of the Phonographic Industry) ve BSA (Business Software Alliance) gibi korsan kopya avcılarına hedef oluyorlar. Ağdaki klasörleri saklandıkları yerden çıkartabileceğimiz yeni bir anahtar kelime düşünüyoruz. Dokümanlardaki gibi “ext:” operatörü ile yaptığımız ilk deneme beklentilerimizi karşılamayan sonuçlar veriyor. Bu nedenle dizinlerin “Index of /” ifadesi ile başladıkları gerçeğini göze alıyoruz. Bunun sonucunda Google 20 milyonun üzerinde web sayfası buluyor. Bu nedenle aramamızı içerisinde MP3 dosyaları bulunan klasörler ile sınırlandırıyoruz ve aşağıdaki Google Hack ifadesi ile arama yapıyoruz. “Index•of•/”•+MP3 Şimdi Google, araştırma yapanların en sevdikleri parçalar için değiştirebilecekleri bu ifade ile yaklaşık olarak 800.000 sayfadan oluşan bir sonuç listesi görüntülüyor. Kullanıcı bilgilerini veren web mağazaları Her geçen gün daha da akıllı hale gelen kimlik doğrulama sistemlerine rağmen birçok web mağazası aslında ardına kadar açık kapılarla dolu. Bu sefer Google’ı kredi kartı numarası bulmak için kullanmak istiyoruz. Bunun için “Numrange” operatöründen faydalanacağız. Ancak bu operatör ile kullanacağımız aralığı bulmak için ilk olarak farklı Visa kartlarını karşılaştırdık ve Google Hack olarak kullanacağınız ifadenin “visa 4060000000000000..4060999999999999” şeklinde olmasına karar verdik. Visa kartı numaraları 4060 ile başlıyor ve takip eden “0” ile “9” arasındaki tüm rakamları kullanarak da mümkün olan tüm sayı kombinasyonlarını kontrol edebiliriz. Ancak Google kısa bir süre önce bu ifadeyi filtrelediği için aramamız başarısız bir şekilde sonuçlanıyor. Ancak hala başka imkanlar Confidential – for internal use only: Google, doğru arama kriterleri ile aslında internette bulunmamaları gereken gizli belgeleri ve önemli sunuları ortaya çıkartabilir. ternal use” (sadece firma içi kullanım için) bilgileri bulunur. Yani aramak için bu alıntıları kullanacağız. Bu nedenle normal bir Google arama satırında aşağıdaki Hack ifadesi yer alacak: ext:ppt•confidential•“for•internal• use•only” Google, sadece 0,37 saniye sonra bu arama kriterlerine tamamen uyan ve aralarında Siemens, Sun ve Enron gibi dev firmaların da yer aldığı yüzlerce farklı dosya ekrana getiriyor. Ayrıca daha da kötüsü, Hack satırında yaptığımız küçük bir değişiklik ile bir topluluğa üye olan tüm kişilerin listesine de ulaşabildik. Söz konusu kurumu hemen uyardık. Gönderdiğimiz e-postalar sonrasında birçok kurum sorun ile ilgilendi, ancak henüz önlem alanların sayısı oldukça az. Arşiv ve yedek dizinlerindeki kanunsuz MP3’ler Google ile internette dokümanlardan fazlasına da ulaşabiliyorsunuz. Birçok web alanı sahibi interneti pratik yedekleme allintitle: Arama sonuçlarını, tüm arama kriterleri tarayıcının başlık çubuğunda bulunan sayfalar ile sınırlandırın. intitle: “allintitle” operatöründen farklı olarak sadece ilk arama kriteri başlık satırında aranır. Diğer kelimeler ise metin içerisinde taranı r. allinurl: Tüm arama kriterlerinin adres içerisinde bulunmasını istediğiniz durumlarda bu operatörü kullanabilirsiniz. inurl: “intitle” operatöründe olduğu gibi sadece ilk arama kriteri adres çubuğundaki ifade içerisinde aranır. ..(numrange): Sayı aramalarında isterseniz bir aralık tanımlayabilirsiniz. Örneğin, “100..150” şeklindeki bir kriter 100 ve 150 arasındaki sayı ları içeren sayfaları görüntüler. daterange: 123-456 Bu operatör ile sonuç kümesini belirli bir zaman aralığı ile sınırlandı- rabilirsiniz. Parametreler jüliyen takvimi biçimindedir. ext: Bu sayede belirli bir dosya uzantısına sahip bağlantıları arayabilirsiniz. Alternatif olarak “filetype:” operatörü de kullanılabilir. cache: Bu komutu kullanarak bulunan web sayfasını Google belleğinden çağırabilirsiniz. fiayet sunucu mevcut değilse pratik bir çözüm olabilir. site: Bu komut, belirli bir web sayfasında arama yapılmasını mümkün kılar. related: Google, bu ön ek sayesinde benzer web sayfalarını görüntüler. info: Bu komut ile web sayfası hakkında kısa bir açıklama elde edebilirsiniz. link: Girilen sayfa üzerindeki bir bağlantı ile işaret edilen tüm web sayfalarını görüntüler. ___E___N___ __??__N___E___M___Lİ___ ___G___O___O___G___L___E___ ___K___O___M___U___T___L___A___R___I __?{___G___o___o___g___l___e___ ___o___p___e___r___a___t_____r___l___e___r___i___ ___i___l___e___ ___h___e___r___ ___f___l___e___y___ ___b___u___l___u___n___a___b___i___l___i___r google*** 21/2/05 3:16 Page 207 208 GÜNCEL | KAPAK | DONANIM | YAZILIM | HI-TECH ___I___N___T___E___R___N___E___T___ Google Hacking PRATİK | CHIP | MART 2005 mevcut. Bunun için doğrudan veritabanlarını ve kullanıcı bilgilerinin saklandığı web sayfalarını araştırıyor ve nitekim buluyoruz da. Zararsız Google Hack ile Login’leri, yani sisteme giriş URL’lerini araştırıyoruz. inurl:“login.asp” Bunun sonucunda her biri SQL Injection saldırısı için potansiyel birer kurban olan üç milyonun üzerinde web sayfası ile karşılaşıyoruz. Sonuç listesini kısaltmak için “intitle” operatöründen faydalanıyor ve bu sayede belirli web mağazası yazılımlarına göre aramalar yapabiliyoruz. Araştırmamız sırasında karşılaştığımız en vahim durum: Ünlü bir Exploit yardımıyla ilk web mağazasına rahat bir şekilde ulaşabildik ve burada yöneticilerin erişimi için kullanılan parolaların haricinde tüm müşteri bilgilerine, sipariş listelerine ve hatta kredi kartı numaralarına bile ulaşabildik. Faks sunucusu, yazıcı ve web kamerası ile firma casusluğu Sayısız faks cihazı, kopyalayıcı ve hepsinden de önemlisi web kameraları parola koruması bile olmadan ağa bağlanmış durumda. Bu cihazların hangi sırları açığa çıkartabileceklerini öğrenmek istiyoruz. Bunun için “Network Attached Devices” olarak adlandırılan web kameralarını, faks cihazlarını ve kopyalayıcıları aramak için de yine “intitle” operatöründen faydalanıyoruz. Bunun için aşağıdaki arama ifadesini kullandık ve internette Xerox firmasına ait yaklaşık olarak 21 adet kopyalayıcı cihazla ile karşılaştık: intitle:“Home”•“Xerox•Corporation”•“ Refresh•Status” Hatta bazı durumlarda, kısa bir süre önce kopyalanmış olan belgeleri bile görebildik. Tabii ki web kameraları da casusluk aracı olarak kullanılabilir. Kameralar genellikle Eğer bir Google saldırısının kurbanı olmak istemiyorsanız Sensepot firması tarafından geliştirilen Wikto isimli ücretsiz programı kullanmalısınız. Bu program, Johny Long’un Google Hacking veritabanını kullanı yor ve bunun yardımıyla bilinen tüm Google Hack ifadelerini tanıyor. Bu aracı ve Google Hacking Database dosyasını ancak kaydolduktan sonra www.sensepost. com/research/wikto adresindeki web sayfasından temin edebilirsiniz. Bu aracı indirdikten ve bir kere tüm güvenlik açıklarını tespit ettikten sonra bunları, aşağıdaki açıklamaları takip ederek güvenilir bir şekilde kapatabilirsiniz. Sadece 500 KB büyüklüğündeki Wikto isimli aracın kurulumu için Microsoft .NET Framework ve geçerli bir Google API anahtarı gerekli. .NET Framework’u www.microsoft.com/downloads adresinde veya Service Pack 2 CD’sindeki “\dotnetfx” klasörü içerisinde bulabilirsiniz. Google API anahtarı ise arama hizmetine otomatik olarak erişebilmek için şart. Bu tür bir anahtarı ücretsiz olarak temin edebilirsiniz ancak ilk olarak www.google.com/apis/ adresine kayı t olmalısınız. Buradan elde edeceğiniz anahtarı daha sonra Witko aracında SystemConfig / GoogleKey komutunu kullanarak girebilirsiniz. Daha sonra Google Hacks komutunu çalıştı- rın ve Load GHDB altından XML dosyası ile Google Hacking Database’i yükleyin. Böylece hazırlıkları tamamladı nız ve çalışmaya hazır hale geldiniz. fiimdi Target alanına kendi alan adınızı girin ve Start GH ile arama işlemini başlatın. Yaklaşık olarak beş dakika içerisinde araç tüm arama ifadelerini otomatik olarak gerçekleştirecek ve korsanların sisteme giriş kapısı olarak kullanabilecekleri tüm URL’leri gösteren bir liste ekrana getirecek. Google korsanlığını engellemek için ilk olarak tehlikeli dosyaları mümkün olduğu sürece sunucunuzdan mutlaka kaldırmalısınız. Ancak rahatlıkla silinemeyecek olan dizin ve dosyaların da Google tarafı ndan incelenmelerinin mutlaka engellenmesi gerek. Uzun zaman önce ortaya atılmış olan ağ üzerindeki bir davranış kuralı, bir arama robotunun ilk olarak web sunucusunun kök dizinindeki “robots.txt” dosyasını okumasını ve buna uygun hareket etmesi gerektiğini söyler. Bu dosya yardımıyla hangi dizinlerin indekslenmeyece ğini tanımlayabilirsiniz. Bununla ilgili uyulması gereken yazım kurallarını www. robotstxt.com adresinde bulabilirsiniz. Web sayfası Google indeksine bir kere alındıktan sonra söz konusu sayfanın bellekten silinmesini sağlayabilirsiniz. Bunun söz konusu domain’in yöneticisinin, Google’ın www.google.com/ remove.html adresindeki web sayfasında anlattığı çeşitli işlemleri yerine getirmesi gerekiyor. Buradaki en önemli nokta ise dosyanın bir daha web sunucusu üzerinde bulunmaması. CHIP İpucu: Dosyalarınızı korumak için Java veya JavaScript kontrolleri kullanmayın. Korsanlar, bu tür istemci tabanlı kontrolleri birkaç dakika içerisinde kırabilirler. Bunun yerine web sunucusunun sizlere sunduğu parola kontrollerini kullanmalısınız. ___6 ___5 ___4 ___3 ___2 ___1 İstihbarat masası: Wikto aramakla kalmıyor, aynı zamanda bulduğu açıklar hakkında da ayrıntılı bilgi veriyor. Yazıcının görünümü: Birçok cihazdaki yazdırma işleri indirilebilir ve üzerinde değişiklikler yapılabilir. __?{___G___o___o___g___l___e___ ___a__ı___k___l___a___rı___nı___n___ ___t___e___s___p___i___t___i___ ___v___e___ ___w___e___b___ ___s___u___n___u___m___l___a___rı___nı___n___ ___k___o___r___u___n___m___a___sı odaların ve belirli alanların gözetlenmesi için yerleştirilir. Bunun için “xpWebcam” yazılımını hedef aldık ve arama satırında ayrıca “inurl:” operatörünü kullandık. ___A___T__??__L___Y___E google*** 21/2/05 3:16 Page 208 209 GÜNCEL | KAPAK | DONANIM | YAZILIM | HI-TECH ___I___N___T___E___R___N___E___T___ Google Hacking PRATİK | CHIP | MART 2005 intitle:“my•webcamXP•server!” inurl:“:8080” Arama sonrasında şaşırtıcı bir sonuç listesi karşımıza çıktı ve daha da önemlisi 45 web kamerasından bir kısmının parola koruması olmadan ağda bulunmasıydı. Bunlar yabancıların evlerine göz atmasına imkan tanıyor ve insanları çalışırken izlemenize izin veriyor. Johnny Long’un Google Hacker veritabanından online cihazlar ile ilgili 49 farklı Google Hack ise çok daha farklı ve geniş sonuçlar veriyor. eMule ve diğerleri ile yabancı PC’lere erişim Kısa bir süre önce dosya paylaşım istemcisi eMule’un da sunmaya başladığı uzaktan erişim işlevlerinden faydalanan internet kullanıcılarının sayısı her geçen gün artıyor. Bu tür programlar korsanlar için yabancı ağlara açılan kapı görevi görüyor. Sistemlere bağlanmak için en çok rastladığımız araçlar eMule, uzaktan bakım için VNC Desktop ve Windows Remote Workplace oldu.Google korsanları, bu tür sayfaları bulmak için de her zaman olduğu gibi “intitle” ve hizmetlerin başlık çubukları ile tanımlanabilmesine imkan tanıyan “allintitle” operatörlerini kullanıyorlar. Aşağıdaki arama satırı ile yaklaşık olarak binden fazla “Outlook Web Access” sayfası bulunabiliyor: allintitle:microsoft •outlook•- web• access•–•logon Aşağıdaki satır ile de birkaç düzine VNC Login bulmak mümkün: intitle:vnc.desktop•inurl:5800 VNC Desktop, 5800 numaralı port üzerinden çalıştığı için arama ifadesindeki “inurl:5800” kriteri ile sadece bu port üzerinden kullanılabilecek olan sayfalar aranıyor. Birçok program hatalı arama denemelerini sınırlandırmadığı için, korsanlar bu noktada mümkün olan tüm karakter katarlarını parola olarak deneyen özel araçlardan faydalanıyorlar. Spam gönderenler ve saldırganlar için posta hesapları Uzaktan bakım aynı zamanda birçok sistem yöneticisinin rahat bir hafta sonu geçirmesini de sağlıyor. İster posta sunucusu ister yönlendirici olsun, artık çok sayıda yazılım ve donanım internet üzerinden rahatlıkla yapılandırılabiliyor. Burada Argosoft firmasının posta sunucusunu arayacağız. Çünkü, e-posta sunucusundaki bir hatanın daha önce sisteme dahil olup yetkilendirilmeye gerek kalmadan yeni hesapların oluşturulabileceği web sayfasına erişimi mümkün kıldığını biliyoruz. Aşağıdaki basit Google Hack satırını kullanarak daha ilk hamlede üzerinde yeni bir e-posta hesabı oluşturabileceğimiz yaklaşık olarak 40 etki alanı ile karşılaştık: “adding•new•user”•inurl:addnew user•-“there•are•no•domains” Söz konusu hesapların sadece iyi niyetli kişiler tarafından kullanılmayacağını, bilakis kimliğini gizleyerek Spam göndermek isteyenlerin de faydalanabileceğini göz önünde bulundurursanız bu tam bir skandal. Google korsanlarının söylemedikleri ve ihanetleri Belirli bölgelerin taranmasını isteyen web sayfası yöneticilerinin, seçtikleri dizinleri “robots.txt” dos- ___Dİ/___E___R___ ___A___R___A___M___A___ ___O___R___T___A___M___L___A___R___I __?{___G___o___o___g___l___e___ ___a___l___t___e___r___n___a___t___i___f___l___e___r___i İllaki Google kullanmanız şart değil. En sevilen arama motoru, bir arama işlemini daha etkili kılan en iyi operatörleri sunabilir ancak Altavista gibi diğer arama motorları ve hatta Kazaa veya eMule gibi P2P programları ile de birçok şey bulabilirsiniz. Altavista: Arama motorlarının büyükbabası, özellikle müzik dosyalarının aranmasında başarılı oluyor. Çünkü Google MP3 uzantısına sahip olan birçok arama sonucunu filtreliyor. Ayrıca dosya türü operatörü kullanılarak gerçekleştirilen aramalar da boşuna, ancak Altavista, farklı türdeki müzik dosyaları nın aranması için ayrı bir başlığa sahip. P2P alanı: P2P ağlarındaki arama iş- lemleri de çok başarılı ve şaşırtıcı sonuçlar ortaya koyabilir. Çünkü bazı kullanıcılar sadece belirli klasörleri de- ğil tüm içerikleri ile beraber bütün sabit disklerini paylaşıma açarlar.Bu nedenle eMule kullanarak da yüzlerce eposta yedeğine ve gizli belgeye ulaş- mak mümkün. yası yardımıyla erişime kapatması gerekiyor. Bizimse bu dizinleri bir kez olsun incelememiz yetiyor. Söz konusu “robots.txt”, Bot’lar tarafından incelenmesi istenmeyen dizinlerin “Disallow:” anahtar kelimeleri kullanılarak ayrı ayrı satırlarda belirtildikleri basit bir metin dosyası. Bunlar, normalde doğrudan erişilebilen, ancak Google gibi büyük arama motorları tarafından incelenemeyecek olan klasörler. Ancak buna rağmen söz konusu dizinlerin neler sakladığını öğrenmek için tarayıcının adres sayfasına alan adını (örneğin www.whitehouse. gov) ardından da gizli olan klasörü (/911/patriotism/text) giriyoruz. Burada bahsedeceğimiz son Google Hack ise aşağıdaki gibi: ext:txt•robots Beyaz Saray’ın burada neden vatanseverlikle ilgili çocuk mektuplarını gizlediği ise ayrı bir sır olarak kalmaya devam edecek. _ VP / Kadir Tuztaş, ktuztas@chip.com.tr ___A___Y___R___I___N___T___I___L___I___ ___Bİ___L___Gİ http://johnny.ihackstuff.com www.google.com/apis/ www.searchlores.org Anonim posta kutusu: Korsanlar ve Spam gönderenler sorunlu web postası sunucuların kendi kullanıcı hesaplarını oluşturabilirler. Korsanların favorisi: ABD makamlarının kendileri bile, devamlı olarak güvenlik açıkları veren web posta sunucularını kullanıyorlar. google*** 21/2/05 3:16 Page 209 Windows’un başlangıç noktası olan Başlat menüsünü, işletim sisteminin sunduğu seçeneklerin haricinde de istediğiniz gibi değiştirebilirsiniz. Başlat menüsünün özelleştirilmesi CHIP |MART 2005 GÜNCEL | KAPAK | DONANIM | YAZILIM | HI-TECH | INTERNET PRATİK İpuçları 210 |
Cep telefonları |
Ekran kartları |
Masaüstü |
Notebook |
Ses kartları |
Webcam |
Klavye & Fare |
Yazıcılar |
Tablet
Ev Sineması
Mp3 Player | Usb Bellekler | Video kameralar | Fotoğraf Makinesi | Taşınabilir diskler | LED & LCD Tv | Monitörler | OEM | PDA
Navigasyon | Oyun Konsolu
Copyright © CHIP Online 2012 | Doğan Burda Dergi Yayıncılık ve Pazarlama A.Ş.
Hürriyet Medya Towers 34212 Güneşli - İstanbul
Hürriyet Medya Towers 34212 Güneşli - İstanbul