Siberle kalın, güvende kalın!

Hazırlayanlar: Kudret Efil & Resul Emin Göçer Siber uzayda güvenlik, asimetrik bir savaş alanıdır. Savunma tarafı (mavi takım) sistemin tamamını korumak zorundayken, saldırı tarafının (kırmızı takım) başarılı olmak için yalnızca tek bir zafiyet bulması yeterlidir. Bu asimetrik denklemde, başarılı bir siber operasyonun—ister etik bir penetrasyon testi isterse kötü niyetli bir saldırı olsun—temeli, sağlam ve kapsamlı bir istihbarat toplama sürecine dayanır. “Cyber Kill Chain” (Siber Saldırı Zinciri) veya PTES (Penetration Testing Execution Standard) gibi endüstri standartlarında ilk aşamalar olarak tanımlanan bu süreç, pasif bilgi toplamadan aktif sorgulamaya geçişi ifade eder. Bu yazının odak noktasını oluşturan Tarama (Scanning) ve Keşif (Enumeration), hedef altyapı üzerinde doğrudan paket gönderimi yaparak gerçekleştirilen, agresif ancak hayati öneme sahip bilgi toplama fazlarıdır. Bu aşamalar, “Hedefte ne var?” sorusundan “Hedef nasıl çalışıyor ve zayıf noktaları nelerdir?” sorusuna geçişin metodolojik köprüsünü kurar. 1. Tarama (Scanning) Metodolojisinin Kuramsal Çerçevesi Tarama, geniş bir ağ bloğu veya belirli bir hedef sistem üzerinde; erişilebilirliği, aktif servisleri ve ağ topolojisini belirlemek amacıyla yürütülen sistematik bir sondaj işlemidir. Bu aşama, genellikle “genişten özele” (broad-to-narrow) bir yaklaşım izler. 1.1. Host Keşfi ve Ağ Varlıklarının Tespiti (Host Discovery) Bir saldırı yüzeyini haritalandırmanın ilk adımı, hangi sistemlerin “canlı” (alive) olduğunu belirlemektir. Bu, OSI modelinin farklı katmanlarındaki protokollerin davranışları kullanılarak gerçekleştirilir. 1.2. Port Tarama Taksonomisi ve Durum Analizi Host keşfinin ardından, hedef üzerindeki “kapıların” yani portların durumu analiz edilir. Bir portun durumu, güvenlik açısından kritik bilgiler sunar. Nmap gibi endüstri standardı araçlar portları temel olarak üç durumda sınıflandırır: Temel ve Gelişmiş Tarama Teknikleri 2. Keşif (Enumeration): Sistematik Veri Madenciliği Tarama aşaması “nerede” sorusuna yanıt verirken, Keşif (Enumeration) aşaması “ne” ve “kim” sorularına odaklanır. Bu, tarama sırasında bulunan açık portlar ve servisler üzerinden hedef sisteme özgü kritik verilerin aktif olarak çekilmesi işlemidir. Keşif, saldırı vektörünün belirlenmesinde en belirleyici adımdır. 2.1. Servis Versiyon Tespiti ve Parmak İzi (Fingerprinting) Bir portun 80/TCP (HTTP) olduğunu bilmek yeterli değildir. O portta “Apache 2.4.49” mu yoksa “Microsoft IIS 10.0” mı çalıştığını bilmek hayati önem taşır. 2.2. Ağ Protokolleri Üzerinden Veri Keşfi Ağ ortamlarında yaygın olarak kullanılan bazı protokoller, doğaları gereği veya hatalı yapılandırmalar sonucu çok miktarda bilgi sızdırabilir. a. NetBIOS ve SMB (Server Message Block) Keşfi (Windows Ortamları) Windows ağlarının temel taşı olan SMB, keşif için bir altın madenidir. Uygun araçlarla (örn: enum4linux, smbclient) şunlar elde edilebilir: b. DNS (Domain Name System) Keşfi DNS sunucuları, bir organizasyonun dış dünyadaki ve bazen iç ağdaki dijital haritasını barındırır. c. SNMP (Simple Network Management Protocol) Keşfi Ağ cihazlarını yönetmek için kullanılan SNMP, genellikle zayıf varsayılan ayarlarla bırakılır. “Public” gibi varsayılan topluluk dizeleri (community strings) kullanılarak yönlendiriciler, anahtarlar ve sunucular hakkında inanılmaz detayda bilgi (sistem çalışma süresi, yüklü yazılımlar, ağ arayüz istatistikleri, hatta bazen kullanıcı hesapları) sorgulanabilir. 2.3. Dizin ve Kimlik Doğrulama Servisleri (LDAP/AD) Kurumsal ortamlarda, Active Directory (AD) veya LDAP (Lightweight Directory Access Protocol) sunucuları, organizasyonun tüm hiyerarşisini barındırır. Bu servislerin keşfi, saldırganın domain içerisindeki kullanıcıları, grupları, bilgisayarları ve organizasyonel birimleri (OU) haritalandırmasını sağlar. Bu bilgi, yanal hareket (lateral movement) ve yetki yükseltme saldırıları için kritik öneme sahiptir. 3. Savunma Perspektifi: Tespit ve Önleme Stratejileri Tarama ve Keşif tekniklerine hakimiyet, Mavi Takımlar (Savunmacılar) için proaktif bir güvenlik duruşu geliştirmenin ön koşuludur. Savunma stratejisi “derinlemesine savunma” (defense in depth) ilkesine dayanmalıdır. 3.1. Ağ Sıkılaştırma ve Filtreleme (Network Hardening) 3.2. Gizleme ve Yanıltma (Obfuscation and Deception) 3.3. Anomali Tespiti ve İzleme Saldırı Tespit Sistemleri (IDS) ve SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümleri, tarama aktivitelerinin karakteristik imzalarını tanıyacak şekilde yapılandırılmalıdır. Örneğin: Sonuç Tarama ve Keşif, siber güvenliğin hem saldırı hem de savunma tarafında yer alan, sürekli ve döngüsel bir süreçtir. Bir saldırgan için bu aşama, karanlıkta bir el feneri yakmak gibidir. Hedefin sınırlarını, zayıflıklarını ve giriş noktalarını aydınlatır. Bu aşamada elde edilen istihbaratın kalitesi, takip eden zafiyet sömürme (exploitation) aşamasının başarısını doğrudan belirler. Savunmacılar için ise bu teknikleri düzenli olarak kendi sistemlerine uygulamak (Penetrasyon Testi ve Zafiyet Taraması), saldırganlardan önce güvenlik açıklarını görmenin ve kapatmanın tek yoludur. Modern, dinamik ağ altyapılarında güvenlik, statik bir durum değil, sürekli bir keşif ve iyileştirme sürecidir. Kaynakça