tarayıcı

[COLOR=red][B]Nedir bu tarayıcılar? (Scanners)[/B][/COLOR]

Tarayıcılar (Scanners)

-----------------------------------------------------------
1. Nedir bu tarayıcılar (Scanners)
1.1 Programlama
1.2 Biraz tarihçe
1.3 Basit bir saldırı
1.4 Çeşitli ağ araçları
1.5 Tarayıcılar
1.5.1 Ağ tarayıcıları (Network Scanners)
Ticari Tarayıcılar
Windows ve Unix platformu için yazılmış diğer bazı tarayıcı örnekleri
1.5.2 Host Tarayıcıları
1.5.3 Saldırı Tarayıcıları (Intrusion Scanners)
1.6 WWW Zayıflık Tarayıcıları
1.7 Sonuç

-----------------------------------------------------------



Tarayıcı, bir sistemdeki (uzak yada yerel bir sistem olabilir) zayıflıkları otomatik olarak tarayarak bulan programdır. Tarayıcılar yerel sistemde yada ağda çalışabildiği gibi internet üzerinde de çalışabilir. Yani siz internette bağlı herhangi bir sunucuyu uygun bir tarayıcıyla uzaktan tarayabilir ve sistemdeki zayıflıkları öğrenebilirsiniz. Ağlardaki ve sistemlerdeki zayıflıkları ortaya çıkardığı için tarayıcılar Internet güvenliğinde çok önemlidirler.

Daha önce de belirttiğim gibi tarayıcılar yeraltı dünyası için önemli olduğu kadar bu kişilere karşı sistemini korumak isteyen sistem yöneticileri için de çok önemlidir. [I](çoğu zaman göz ardı edildiği hatta çoğu kişinin böyle bir şeyin varlığından haberi bile olmamasına rağmen)[/I] Sistem yöneticileri tarayıcıları kullanarak kendi ağlarının güvenliğini artırabilirler.

Tarayıcıyıları [U][B][COLOR=darkblue]TCP port tarayıcıları [/COLOR][/B][/U]olarak ta tanımlayabiliriz. Yani bir tarayıcı en basit anlamda bir sistemdeki TCP portlarına erişir ve sistemden gelen cevapları alarak sistem hakkında bilgi toplar. (Örnek vermek gerekirse 80 (HTTP) numaralı TCP portu yada 21 (FTP) portu..) Tarayıcı bir kere sistemdeki belli bir porta bağlandıktan sonra o portta servis veren programla ilgili belli zayıflıkları tarayabilir ve rapor edebilir. Mesela bir ftp portundan ftp sunucusuna bağlanarak bu sunucuya "anonymous" kullanıcı olarak girilip girilemeyeceğini test edebilir ve bir adım daha ileri giderek eğer giriliyorsa yeni dosya yada dizin oluşturulup oluşturulamayacağını test edebilir ve en sonunda size bir rapor verebilir.

Yukarıdaki açıklamadan da anlaşılabileceği gibi tarayıcıların genel özelliklerini, bir sistemi ya da ağı tarayarak bulabilmesi, sistemi bulduktan sonra sistemde çalışan servisleri belirleyebilmesi ve bulduğu servislerde bulunabilecek bilinen zayıflıkları tarayabilmesi olarak sayabiliriz. Tüm bu işlemleri tarayıcısız olarak yaptığınızı bir düşünün! Internette binlerce sistem, ve bu sistemlerde çalışan yüzlerce servis ve bu servislerde bulunabilecek binlerce güvenlik açığı vardır. Tüm hepsini birden elle taramak neredeyse imkansızdır. İşte bu nedenle tarayıcılar ortaya çıkmıştır.

Tarayıcılar ilk olarak UNIX platformlarında yazılmışlardır. Ancak şimdi Windows NT'nin internet sunucusu olarak yaygın kullanımından sonra Windows platformlarında da tarayıcılar ve diğer hacker araçları yazılmıştır ve yazılmaktadır. [I](Gerçi bazı hacker çevreleri Windows için yazılmış hacker araçlarına "oyuncak" gözüyle bakıyorlar ve bu işin asıl Linux gibi bir UNIX sisteminde yapılabileceğini savunmaktadırlar!)[/I]

İlerleyen kısımlarda bir çok değişik ve popüler tarayıcıyı tanıyacağız ve çok değişik platformlarda olduklarını göreceğiz. Tarayıcılar genellikle [B]Solaris, Linux[/B] ve [B]Windows[/B] üzerinde yazılmaktadırlar. Özellikle Windows üzerinde değişik özellikler içeren sayısız tarayıcı bulmak mümkün.

Tarayıcıları çalıştırabilmek için genellikle çok fazla sistem kaynağına ihtiyaç vardır. Gerçi günümüzde artık bu pek fazla geçerli gibi görünmüyor. Zira normal bir kullanıcı standart bir PC'de ([I]128 MB bellek ve 700MHz'lik bir CPU ile)[/I]r Linux yada Windows NT işletim sistemlerini çalıştırılabiliyor ve bu seviyedeki bir makine tarayıcıların sistem gereksinimi fazlasıyla karşılıyor.

[U][B]Diğer bir konu tarayıcıyı nerde kullanacağınızdır:[/B][/U] yerel sistemde , ağda yada internette. Bu kullanım yerine göre gereksinimler de değişmektedir. Tarayıcılar en hızlı yerel sistemde çalışmaktadır, ağ trafiği olmadığı için. Daha sonra yerel ağda çok hızlı çalıştırabilirsiniz tarayıcınızı, tabi ağ hızı bu işlem hızına doğrudan etki etmektedir. Eğer internette kullanacaksanız modem ve bağlantı hızı önem kazanmaktadır. Çok yavaş bir internet bağlantısında tarayıcı kullanmak hiç kullanmamaktan biraz daha iyidir!

Kısaca bahsedeyim tarayıcılar genellikle geniş bir aralıkta tarama yaptıkları için [I](örnek olarak ağınızdaki tüm bilgisayarları taramak için, yada internette belli ip aralığında bulunan tüm sistemleri taramak için)[/I] çalışma zamanı çok uzundur. Örnek olarak, cracker'lar internette belli sistemleri belli zayıflıklar için taramak için tarayıcıyı geceden çalıştırır ve sabaha kırılmayı bekleyen sistemlerin listesi cracker için hazırlanmış olur.

[COLOR=red][U][B]4.1 Programlama[/B][/U][/COLOR]
Gelelim tarayıcıların programlanması konusuna. Bir tarayıcı yazmak o kadar da zor değildir aslında. En basitinden verilen bir sistemdeki tüm açık portları ve çalışan servisleri tarayan bir tarayıcı yazabiliriz. [I](guvenlikHaber programlama kısmında bu tip basit bir tarayıcı geliştireceğiz birlikte)[/I] [I]Tabi bunun için uygun bir dil, C, Perl, Script dilleri, Java.. bilmek gerekmektedir. Ayrıca çok iyi düzeyde TCP/IP bilgisi ve socket programlama bilmek gerekmektedir.[/I] [I](guvenlikHaber programlam kısmında socket programlama örnekleri bulabilirsiniz. Burda verilen programlar genel bir socket programlama bilgisi istemektedir. Bunun için çeşitli kaynaklardan socket programala temellerini öğrenebilirsiniz.)[/I]

Aslında bir tarayıcı yazmak için çok iyi seviyede TCP/IP bilmek o kadar da önemli değildir. Çok ileri düzeyde socket programala bilmek te gerekmeyebilir. Örnek [I]socket programlarını [/I]inceleyerek te rahatça bir tarayıcı yazabilirsiniz. Ancak ileride de değineceğim gibi, çok ileri düzey bir tarayıcı yazabilmek için çok ileri düzeyde TCP/IP [I](örnek olarak datagram ve paket yapılarını ve kullanımını)[/I] ve socket programa bilmek gerekmektedir. Bazı tarayıcılar tarama yaptıkları sistemlerde hiç bir iz bile bırakmadan işlerini halledebilmektedirler, bu tür tarayıcıları yazmak için TCP/IP yapısını iyi bilmek gerekmektedir.

Sistemlerdeki zayıflıkları tarayıp otomatik olarak bulan bir yazılım olduğunu öğrenen ve bir yerlerden bu şekilde bir yazılım elde edip çalıştıran bir kişi her şeyi yapabileceğini, sistemleri rahatça kırabileceğini sanabilir! Ancak tam olarak bu doğru değildir. Yani aslında bir tarayıcı işi bilen bir kişi için [I](yani gerçekten güvenlikle ilgilenen kişiler)[/I] çok şey ifade etmekle birlikte [U]bu tip bir programı ilk çalıştıran ve onlardan çok şey bekleyen bir kişi için hiç bir şey ifade etmeyebilir.[/U]

Sistem yöneticileri genellikle bu tür tarayıcıların cracker'ların elinde olmasını ve kullanılmasını internet güvenliği için iyi olmadığını düşünmektedirler. Ancak asıl kendileri bu araçları kullanarak kendi sistemlerini güvenli hale getirmedikleri zaman internet güvenliğini daha fazla tehlikeye atmaktadırlar! Sitem yöneticilerinin güvenlik konusu boş vererek yada bazı konuların gizli kalmasını sağlayarak güvende olduklarını düşünmesi yanlış bir davranıştır. Zira bir yerlerde bu konularla uğraşan ve sistemlerine girmek için çalışan bir yığın saldırgan her zaman olacaktır.

[COLOR=red][B]4.2 Biraz tarihçe[/B][/COLOR]

Cracker'lar ilk cracking tekniklerini uygularken her şeyi elle yapmak zorundaydılar. Herkesin uyuduğu saatlerde onlar loş odalarında eski makinelerinin başına oturarak bir yerlerden edindikleri telefon numaralarını çevirerek UNIX makinelerine girmeye çalışırlardı. Bağlantıyı kabul eden makine bir login satırı getirir ve burada cracker default kullanıcı ve şifreleri deneyerek sisteme girmeye çalışırdı. Tabi bu işlem sabaha kadar sürebilir ve hiç bir şey bulanamayabilirdi!

İşte bu zamanlarda çok daha geniş bir alanda tarama yapabilecek ve elle yapılan işleri otomatik olarak yapabilmek için meşhur "[U][B]war dialer[/B][/U]" geliştirildi. Tarayıcıların atası sayabileceğimiz "war dialer" aslında kullanıcı tarafından verilen bir telefon numaraları aralığını çevirerek bağlantı kabul eden ve login satırı veren sistemleri belirleyen bir yazılımdan başka bir şey değildi. War dialer bulduğu sistemleri bir dosyaya kayıt ederek cracker'ın günlerce uğraşarak elde edebileceği sunucu bilgilerini bir iki saat içinde çıkartabiliyordu. Internette bir sürü war dialer bulabilirsiniz. Tabi çok eski oldukları için DOS sisteminde çalışmaktadır, ancak Windows altında da DOS penceresinde çalıştırılabilir.

Günümüz tarayıcıları temel olarak bir war dialer'ın yaptığı işi yapmaktadır. Ancak tarayıcılar internet yada TCP/IP sistemlerinde kullanılırlar ve war dialer'lara göre çok daha fazla gelişmiştirler.

[COLOR=red][/COLOR][B]4.3 Basit bir saldırı [/B]

Yakın bir zamanda yeni bir açık bulunuyor ve bu açık diyelim Solaris sisteminde olsun. Siz de internette Solaris çalıştıran sunuculara erişerek bu açıktan yararlanmayı düşünüyorsunuz! Bunu yapmak için arama motorlarında Solaris'e has bazı kelimeleri, dosyaları aratarak bu tip makinelere erişme imkanınız olabilir ancak bu iyi bir yöntem değildir. Bunu yapmak için basit bir port tarayıcısı yeterli olacaktır. Tarayıcı verilen bir ip aralığındaki tüm ip'leri tarayarak telnet portuna bağlanabilir ve bağlantı kurulunca sistemin verdiği cevabı kayıt edebilir. Daha sonra bu cevaplara bakarak login satırı veren sistemleri görebilir ve login satırında verilen bilgiler dahilinde Solaris çalışıp çalışmadığını anlayabilirsiniz.

Örnek olarak bir login satırında aşağıdaki gibi bir ekran gelebilir karşınıza:

[COLOR=blue] SunOS 5.6

login:
[/COLOR]

[B][COLOR=red]4.4 Çeşitli ağ araçları[/COLOR][/B]
Popüler tarayıcıları incelemeden önce bazı önemli ağ araçlarına bakalım kısaca. Bu araçlar UNIX tabanlı olup bir çoğu [I](hepsi olmasa da gerekli olabilecekler)[/I] Windows ve diğer ortamlara da taşınmıştır.

Ağ araçlarından en önemlisi belki de ping komutudur. Ping bir makinenin ayakta olup olmadığını test etmek için kullanılır. Karşı makinenin adını yada ip numarasını yazarak test ettiğinizde eğer makine ayakta ise size bir cevap gelecektir. Aksi taktirde "request time out" hatası verecektir.


[COLOR=blue]
Pinging 96.3.1.2 with 32 bytes of data:

Reply from 96.3.1.2: bytes=32 time<10ms TTL=128
Reply from 96.3.1.2: bytes=32 time<10ms TTL=128
[/COLOR]...

Diğer yararlı bir komut [U][B]traceroute[/B][/U] komutu internette yada bir ağdaki iki makine arasındaki yolu bulmak için kullanılır. Traceroute komutu daha çok sorun gidermek için kullanılır. Ancak bu komut bir cracker için çok önemli bilgiler verebilir. Internette ip'si bilinen bir makinenin nerede olduğunu bulmak için kullanılabilir. Örnek olarak kendi IP numaranıza traceroute yaparsanız nereden bağlı olduğunuzu görebilirsiniz. [I](Windows komut satırında bu komut [B]tracert[/B] olarak geçmektedir.)[/I] Örnek bir traceroute çıktısı aşağıda verilmiştir.



[COLOR=blue]Tracing route to www.mikrosoft.com [216.246.45.18]
over a maximum of 30 hops:

1 180 ms 180 ms 160 ms asy254.as25349.sol.superonline.com [212.253.49.254]
2 250 ms 161 ms 160 ms 212.252.6.1
3 190 ms 180 ms 181 ms FEC.ist.apl-r7-1-ist.apl-r7-2.superonline.net [212.252.8.1]
4 260 ms 161 ms 160 ms superonline3.gayrettepeports.ttnet.net.tr [212.156.242.101]
5 231 ms 180 ms 160 ms 212.156.7.210
6 351 ms 340 ms 341 ms if-10-1-0.bb1.Miami.Teleglobe.net [207.45.198.129]
7 661 ms 561 ms 540 ms if-9-0.core1.Miami.Teleglobe.net [207.45.210.41]
8 561 ms 541 ms 521 ms if-6-2.core1.Washington.Teleglobe.net [207.45.222.29]
9 400 ms 441 ms 421 ms if-2-0-0.bb1.Washington.Teleglobe.net [207.45.221.228]
10 551 ms 540 ms 541 ms Serial3-1-0.GW1.DCA3.ALTER.NET [157.130.39.85]
11 * * * Request timed out.
12 551 ms * 631 ms 293.at-0-1-0.TR1.DCA8.ALTER.NET [152.63.32.202]
13 851 ms * 591 ms 115.at-6-0-0.TR1.LAX9.ALTER.NET [146.188.141.122]
14 591 ms 601 ms 601 ms 297.ATM7-0.XR1.LAX4.ALTER.NET [152.63.112.181]
15 601 ms * 611 ms 193.ATM6-0.GW6.LAX4.ALTER.NET [152.63.113.153]
16 * 611 ms 641 ms softawareoc3-gw.customer.alter.net [157.130.200.214]
17 721 ms 762 ms 620 ms l0.hood.softaware.com [209.85.0.11]
18 701 ms 621 ms 631 ms 216.246.45.18

Trace complete.[/COLOR]

Ağ araçlarının içinde belkide en tehlikeli olanı "[B][COLOR=red]host[/COLOR][/B]" aracıdır. Host aracı basit olarak standart bir [B]nslookup[/B] sorgusunun yaptığı işi yapmaktadır. nslookup [B]DNS[/B] (Domain Name Servers) suncularına sorgulama yapmak için kullanılır. Örnek olarak bir ip adresini host adına yada tam tersi çevirmek için kullanılır. Ancak "host" aracı çok daha tehlikeli bilgiler vermektedir. Bir domainde host komutunu çalıştırdığınızda o domainde bulunan tüm işletim sistemleri, makineler ve genel olarak ağla ilgili çok fazla bilgi verecektir. Aşağıdaki örnek internetten alınmıştır ve aslında uzunluğu binlerce satırdır.

[COLOR=blue]host -l -v -t any bu.edu

Found 1 addresses for BU.EDU
Found 1 addresses for RS0.INTERNIC.NET
Found 1 addresses for SOFTWARE.BU.EDU
Found 5 addresses for RS.INTERNIC.NET
Found 1 addresses for NSEGC.BU.EDU
Trying 128.197.27.7
bu.edu 86400 IN SOA BU.EDU HOSTMASTER.BU.EDU(
961112121 ;serial (version)
900 ;refresh period
900 ;retry refresh this often
604800 ;expiration period
86400 ;minimum TTL
)
bu.edu 86400 IN NS SOFTWARE.BU.EDU
bu.edu 86400 IN NS RS.INTERNIC.NET
bu.edu 86400 IN NS NSEGC.BU.EDU
bu.edu 86400 IN A 128.197.27.7

bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX
PPP-77-25.bu.edu 86400 IN A 128.197.7.237
PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
PPP-77-26.bu.edu 86400 IN A 128.197.7.238
PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
ODIE.bu.edu 86400 IN A 128.197.10.52
ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU
ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1

STRAUSS.bu.edu 86400 IN HINFO PC-PENTIUM DOS/WINDOWS
BURULLUS.bu.edu 86400 IN HINFO SUN-3/50 UNIX (Ouch)
GEORGETOWN.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
CHEEZWIZ.bu.edu 86400 IN HINFO SGI-INDIGO-2 UNIX
POLLUX.bu.edu 86400 IN HINFO SUN-4/20-SPARCSTATION-SLC UNIX
SFA109-PC201.bu.edu 86400 IN HINFO PC MS-DOS/WINDOWS
UH-PC002-CT.bu.edu 86400 IN HINFO PC-CLONE MS-DOS
SOFTWARE.bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/30 UNIX
CABMAC.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
VIDUAL.bu.edu 86400 IN HINFO SGI-INDY IRIX
KIOSK-GB.bu.edu 86400 IN HINFO GATORBOX GATORWARE
CLARINET.bu.edu 86400 IN HINFO VISUAL-X-19-TURBO X-SERVER
DUNCAN.bu.edu 86400 IN HINFO DEC-ALPHA-3000/400 OSF1
MILHOUSE.bu.edu 86400 IN HINFO VAXSTATION-II/GPX UNIX
PSY81-PC150.bu.edu 86400 IN HINFO PC WINDOWS-95
BUPHYC.bu.edu 86400 IN HINFO VAX-4000/300 OpenVMS[/COLOR]

Yukarıdaki çıktıdan da görüldüğü gibi host aracı bir domainde bulunan tüm sistemleri , donanımı ve işletim sistemiyle birlikte listelemektedir. [U]Bu listeye bakarak bu domainde bulunan saldırılabilecek muhtemel sistemler belirlenebilir![/U]

Bir sistemde login olan kullanıcılar hakkında bilgi edinmek için kullanılan [B]finger[/B] ve [B]ruser[/B] komutları da tehlikeli sayılmaktadır. finger komutu sistemde bulunan kulanıcı'nın gerçek adını, login kullanıcı adını, dizinini, en son login olduğu zamanı gibi çeşitli bilgilerini verir. Ancak güvenlik açısından bu bir tehlike sayıldığından artık günümüzde finger sunucuları çalıştırılmamakta yada çok kısıtlı bir bilgi sunmaktadır. Zira bir sisteme saldırı düzenlemeden önce strateji belirlemek için o sistemdeki kullanıcıların aktivitelerini izlemek ve alışkanlıklarını, sisteme ne zaman giriyorlar ne yapıyorlar gibi.. öğrenmek için kullanılabilir.

Diğer bir komut [COLOR=red][U][B]showmount[/B][/U][/COLOR] komutudur. Bu komut uzak bir sistemdeki export edilen dizinleri gösterir. UNIX'te [I](Windows için de geçerlidir)[/I] bir dizine diğer sistemlerden erişim sağlamak için öncelikle bu dizinin export edilmesi gerekmektedir. Tabi bu durumda çeşitli erişim hakları da verilebilir. İşte showmount komutu ile bu tür dizinler olup olmadığı sorgulanabilir. Ancak bulunan export dizinlerine internet üzerinden mount etme şansı olmayabilir.

Aynı şeyi Windows ortamında "[COLOR=blue]net view \\host_name/host_ip[/COLOR]" komutu ile yapabilirsiniz. "[COLOR=blue]net view[/COLOR]" verilen bir sistemdeki tüm paylaşıma açılan kaynakları listeleyecektir. Ancak bu listede görünen kaynaklara şifresiz girebileceğiniz anlamına gelmez. Sadece bu komut kullanılarak bile bir windows sistemine tamamen hakim olma şansını yakalayabilirsiniz! Onun için Windows ortamında kaynak paylaşımında mutlaka şifre kullanmak her zaman için iyi olacaktır, özellikle internete bağlantı varsa.

Yukarıda bahsedilen ağ araçlarını standart bir UNIX makinesinde (Linux mesela) komut sayırından çalıştırabilirsiniz. Ancak bu araçların hepsi diğer platformlarda default olarak bulunmamaktadır. Bunun için çeşitli firmalar UNIX ortamında bulunan bu eşsiz araçları Windows ve Machintosh gibi sistemlere taşımışlardır.

Bunların en ünlülerinden olanı [COLOR=blue][B]NetScanTools[/B][/COLOR] aracıdır. NetScanTools bir dizi UNIX aracının Windows 95 sistemine taşınmış halidir. Program gayet şık bir arayüzle gelmektedir. NetScanTools iki sürüm halindedir. Standart sürümü ev kullanıcıları ve küçük iş sahipleri için geliştirilmiş. NetScanTools Pro 2000 ise büyük iş sahipleri ve ağ profesyonelleri için geliştirilmiş. Araç ping, finger, tracert, nslookup, whois gibi araçları kapsamaktadır. Bu aracın 30 günlük deneme sürümünü www.netscantools.com adresinden indirebilirsiniz.

[COLOR=red]NetScanTools'un diğer önemli bir özelliği, ağ araçlarını kapsamasının yanı sıra aslında bir tarayıcı olmasıdır.[/COLOR] Evet NetScanTools ile ağda belli bir ip aralığını tarayarak hangi sistemlerin olduğunu ve bu sistemlerde hangi portların açık olduğunu tarayabilirsiniz. NetScanTools'un en güçlü araçlarından birisi de "Net scanner" aracıdır. Bu araçla belli bir ip aralığındaki tüm ip'leri tarayıp bu ip'lerde bir sistemin olup olmadığını varsa host adını ve bu host üzerinde yapılan whois sonuçlarını alabilirsiniz. Bu bir domaindeki tüm bilgisayarları bulmak için kullanılabilir.

Örnek bir NetScanTools ekranı görmek için [url=http://www.guvenlikhaber.com/doccenter/guvenlik/netscantools.gif]tıklayınız.[/url]

Windows için geliştirilmiş diğer bir araç ise [B][COLOR=orange]Network Toolbox[/COLOR][/B]'tır. Aslında bu aracın yaptığı şeylerde NetScanTools'dan pek farklı değildir. Network Toolbox bir çok UNIX aracını içermektedir. Ayrıca bir de IP adress aralığı tarama aracına sahiptir.

Örnek bir Network Toolbox port tarama ekranı görmek için [url=http://www.guvenlikhaber.com/doccenter/guvenlik/networktoolbox.gif]tıklayınız.[/url]

Burada verilen araçlardan başka aynı işleri yapan yüzlerce program bulunabilir internetten. Bazılarının tarayıcı özelliğide gösteren bu ağ araçlarını gördükten sonra şimdi asıl konumuz olan tarayıcılara dönebiliriz. Öncelikle tarayıcıların ataları olarak sayabileceğimiz çok güçlü tarayıcılara değinelim.

[U][B][COLOR=blue]4.5 Tarayıcılar[/COLOR][/B][/U]

Tarayıcıları genel olarak üçe ayırabiliriz.

[B]Ağ tarayıcıları (Network Scanners)[/B] : Yerel sistemde çalışan ve ağ üzerinde bulunan diğer sistemleri tarayarak bu sistemlerde çalışan servisleri test eden programlardır.

[B]Host tarayıcıları :[/B] Yerel sistem üzerinde bulunan zayıflıkları tarayan ve bulduğu zayıflıklar hakkında rapor çıkaran ve bu zayıflıklar hakkında yapılması gereken işlemleri listeleyen tarayıcılar.

[B]Saldırı tarayıcıları (Intrusion Scanners):[/B] Saldırı tarayıcıları zayıflıkları belirleyebilen ve bazı durumlarda aktif olarak bu zayıflıklardan yararlanarak sistemlre girmenizi sağlayan yazılımlardır.

Şimdi sırasıyla bu tarayıcılara değinelim.

[COLOR=red][B]4.5.1 Ağ tarayıcıları (Network Scanners)[/B][/COLOR]

Ağ tarayıcıları yarel bir sistemde çalışarak ağ üzerinde bulunan diğer sistemlerdeki açık servislerde bulunan zayıflıkları tararlar. Eğer bu açıkları bulabilirseniz herhangi bir saldırgan da bulabilir demektir. Bu tarayıcılar genellikle güvenlik duvarlarınızın işleyişini ve doğruluğunu test etmek için çok yararlıdırlar.

[B]SATAN (Güvenlik Yöneticisinin Ağ Analiz Aracı): [/B]SATAN (Security Administrator's Tool for Analysing Networks) programı 1995 yılında internette ilk olarak dağıtıldığında çok büyük yankılar uyandırmıştı. Medyada SATAN'la ilgili olarak çok sayıda makale yazıldı. SATAN UNIX iş istasyonları için C ve Perl dili kullanılarak geliştirilmiş o zamanın ilk X-Window Sistem tabanlı güvenlik aracıydı. SATAN HTML arayüze sahiptir ve web browser üzerinden çalıştırılır. Taranacak sistem bilgileri HTML formlar üzerinden girilir ve tarama sonuçları yine HTML sayfası olarak tablolar halinde verilir.

SATAN günümüzde artık Internet güvenliğinde otorote sahibi kişiler olarak tanınan Dan Farmer ve Weitse Venema tarafından yazılmıştır. Bu kişileri daha önceki bölümden hatırlayacaksınız. Dan Farmer UNIX dünyasında standar ağ güvenlik açıklarını tarama aracı olan [COLOR=blue]COPS[/COLOR]'un yazarlarından ve Weitse Venema ise günümüz modern Firewall'larının atası sayılan [COLOR=blue]TCP_Wrapper[/COLOR] programını yazarıdır. [I](TCP_Wrapper programı standart inetd deamon'un yerini alan ve çok ayrıntılı log işlemlerine sahip bir yazılımdır. İleriki bölümlerde bu araca da ayrıntısı ile değineceğiz.)[/I]

Adından da anlaşılacağı gibi SATAN ağ güvenliğini geliştirmek için yazılmış bir yazılımdır. Aslında SATAN'ın yaptığı şey normal bir cracker'ın elle yapabileceği şeylerden fazla bir şey değidir. Sadece işleri hızlandırmaktadır. Bir cracker'ın haftalarca uğraşarak edindiği sonucu SATAN bir iki dakika içinde ulaşabilir. [I](Aslında bu tüm tarayıcılar için geçerlidir.)[/I]

[B]SATAN'ın yaptığı taramalar kısaca:[/B] Bilinen güvenlik açıkları için uzak sistemi tarar, FTPD zayıflıklarını ve yazma hakkı olan FTP'leri tarar, NFS ve NIS zayıflıklarını tarar ayrıca RSH, X Server ve sendmail'de bulunabilecek zayıflıkları da tarayabilmektedir.

SATAN sadece UNIX sistemleri için geliştirildiği için ve ayrıca çalıştırabilmek için root erişim hakkına ihtiyaç olduğu için bir UNIX makinesine ihtiyacınız vardır. Genel olarak tüm UNIX türevlerinde çalışabilmektedir ancak eğer Linux üzerinde çalıştırmak istiyorsanız biraz uğraşmanız gerekmektedir. SATAN kaynak kodlarıyla birlikte geldiği için kaynak kodlarında yoğun bir çalışma yapmak gerekmektedir. Ancak iyi haber bu çalışmayı daha önce yapan birisi ilgili diff dosyasını internete atmış. Bu dosyayı kullanarak [B](satan-linux.1.1.1.diff.gz)[/B] SATAN'ı Linux sistemlerinde de sorunsuz çalıştırabilirsiniz. Bu arada diff dosyası diff komutu kullanılarak oluştuırulmuş ve iki farklı dosya arasındaki farklılıkları gösteren dosyadır. Bu dosya sayesinde SATAN kaynak kodlarını rahatça değiştirerek Linux altında çalıştırabilirsiniz. [COLOR=green][I](Gerçi ben Red Hat Linux altında bu diff dosyasını kullanmama rağmen derleme sırasında problemlerle karşılaştım ve kaynak kodunun gerekli yerlerini elle düzeltmek zorunda kaldım ama normal olarak böyle hatalarla karşılaşmamanız gerekir)[/I][/COLOR]

SATAN'ın bir kopyasını www.fish.com adresinden elde edebilirsiniz. diff dosyası için adresler ve bulunan dosyalar devamlı değişebileceği için belli bir adres vermek istemiyorum standart bir arama motorunda "satan-linux.1.1.1.diff.gz" dosyasını aratırsanız bulabilirsiniz.

[B]NSS (Network Security Scanner):[/B] NSS [B]Perl[/B] script dilinde yazılmıştır. Perl dili C diline göre daha anlaşılır olduğu için kullanıcının tarayıcı üzerinde değişiklik yapabilme şansı vardır. Ve diğer platformlara da taşıma işi daha kolaydır. NSS'in ilk olarak DEC platformunda geliştirildiği bilinmektedir. Program ayrıca SunOS ve IRIX sisteminde de çalışmaktadır.

NSS çok hızlı bir şekilde tarama işlemi yapabilmektedir. sendmail , Anon FTP , NFS Exports , TFTP , Hosts.equiv Xhost modüllerinde bulunabilecek zayıflıkları taramaktadır. NSS ayrıca paralel işlem özelliğine de sahiptir. Bir tarama işlemini birden fazla iş istasyonuna dağıtarak işlerin paralel olarak yapılmasını sağlayabilmektedir. NSS http://www.giga.or.at/pub/hacker/unix adresinden bulunabilir.

[B]Strobe (Süper Optimize TCP Port Tarayıcısı): [/B]Strobe sistemlerdeki açık portları çok hızlı bir şekilde tarayabilen bir tarayıcıdır. Stobe'un en önemli özelliği verilen bir sistemde çalışan tüm servisleri çok hızlı bir şekilde tarayabilmesidir. Ancak bundan başka fazla bir bilgi vermemektedir. Strobe cracker'a sadece saldırabileceği servisleri göstermektedir. Bu servislerde bulunabilecek zayıflıklarla ilgili hiç bir bilgi vermez.

Tipik bir Strobe tarama sonucu aşağıda verilmiştir:

[COLOR=blue]localhost echo 7/tcp Echo [95,JBP]
localhost discard 9/tcp Discard [94,JBP]
localhost systat 11/tcp Active Users [89,JBP]
localhost daytime 13/tcp Daytime [93,JBP]
localhost netstat 15/tcp Netstat
localhost chargen 19/tcp Chara
cter Generator [92,JBP]
localhost ftp 21/tcp File Transfer [Control] [96,JBP]
localhost telnet 23/tcp Telnet [112,JBP]
localhost smtp 25/tcp Simple Mail Transfer [102,JBP]
localhost time 37/tcp Time [108,JBP]
localhost finger 79/tcp Finger [52,KLH]
localhost pop3 0/tcp Post Office Protocol-Version 3 122
localhost sunrpc 111/tcp SUN Remote Procedure Call [DXG]
localhost auth 113/tcp Authentication Service [130,MCSJ]
localhost nntp 119/tcp Network News Transfer Protocol 65,PL4[/COLOR]

Strobe arama yapılacak başlangıç ve son port numaralarını belirtmek, cevap alınmazsa beklenecek süreyi belirtmek, arama sırasında kullanılacak socket sayısını belirtmek ve aranacak sistemleri listeleyen dosyayı belirtmek için çok çeşitli komut satırı seçenekleri içermektedir.

Strobe tarlanmış ve gzip'li olarak gelmektedir. Strobe'un bir kopyasını ftp://suburbia.net/pub/. adresinden elde edebilirsiniz.

[B]Jakal :[/B] Jakal gizli ([COLOR=red]stealth[/COLOR]) tarama yapabilen bir tarayıcıdır. Yani bu tarayıcıyla bir firewall arkasında bulunan tüm domain'i geride hiç bir iz bırakmadan tarayabilirsiniz.

Stealth scanner'lar [B]half scan [/B]yaparak çalışmaktadırlar. TCP/IP bağlantısı yapılırken tam olarak SYN/ACK transaction yapılmaktadır. Yani önce bir taraf diğer tarafa bağlantı isteğini gönderir (SYN), bu isteği alan diğer taraf isteğe yanıt verir (ACK) ve bu cevabı alan istemci tekrar onay göndererek (ACK) bağlantıyı açmış olur. Half scan tekniğinde bu SYN/ACK transaction işlemi hiç bir zaman tam olarak tamamlanmaz. İstemci sunucuya SYN isteğini gönderir ama hiç bir zaman ACK cevabını göndermez. Ancak sunucudan gelecek cevaba göre karşı tarafta o servisin açık olup olmadığını anlayabilir.

Bu nedenle stealth tarayıcılar firewall korumasını aşabilir ve port tarayıcı yakalama sistemlerinden geçebilirler.Jakal'ın bir kopyasını http://www.giga.or.at/pub/hacker/unix. adresinden bulabilirsiniz.

[B]IdentTCPscan :[/B] Bu tarayıcının özelliği bulduğu açık TCP portunda hizmet veren processin kime ait olduğunu da bulabilmesidir. Yani tarayıcı process'in [B]UID[/B] numarasını öğrenebilmektedir. Bunu öğrenmenin çok açık bir faydası vardır. Çalışan processlerin kullanıcısını öğrenerek hatalı konfigürasyon ayarları çok kolay bir şekilde çıkarılabilmektedir. Örnek olarak bir sistemde 80 numaralı portta çalışan servisin root kulanıcısının çalıştırdığı görülebilir. Bu bir zayıflıktır. Çünkü HTTP portu (80) üzerinden herangi bir şekilde CGI porgramlarında bulunan bir zayıflık sistemi tamamen tehlike altına atabilir. Zira bu şekilde bir zayıflık bulan saldırgan sisteme aynı zamanda root erişim iznini de elde etmiş olur.

Ayrıca IdentTCPscan çok hızlı bir şekilde tarama yapmaktadır. Tüm bu özelliklerinden dolayı cracker'ların favori araçlarından birisidir. Linux, BSDI ve SunOS sistemlerinde çalışabilmektedir. C dilinde yazılmıştır ve kaynak koduyla gelmektedir. Programı herhangi bir C derleyicisiyle derleyerek çalıştırabilirsiniz. Program http://www.giga.or.at/pub/hacker/unix. adresinden edinilebilir.

[B]XSCAN:[/B] Bu tarayıcı çok ilginç bir tarayıcıdır. Verilen bir sistemi yada subnet'teki sistemleri tarayarak X server zayıflıklarını taramaktadır. Ancak sadece tarama yapmakla kalmayıp aynı zamanda zayıflık içeren bir sistem bulduğuda terminalde girilen tüm tuşları kayıt ederek bir dosyada saklamaktadır. Böylece bir cracker kullanıcının kullandığı şifreleri çok kolay bir şekilde ele geçirebilmektedir.

[B]Nmap:[/B] Güvenlik dünyasında artık standart hale gelmiş bir tarayıcıdır nmap. nmap tarayıcısı çok fazla komut satırı seçeneğini desteklemektedir. Unix ortamında çalışmasına rağmen nmap'in NT üzerinde çalışan sürümü de çıkarılmıştır.

nmap programı hemen hemen tüm arama tekniklerini kullanmaktadır. Bunlar arasında,

Vanilla TCP connect() taraması
TCP SYN (half open) taraması
TCP FIN, Xmas, or NULL (stealth) taraması
TCP ftp proxy (bounce attack) taraması, IP fragmentlarını kullanarak SYN/FIN taraması (bazı paket filtreleerini geçebilmektedir)
TCP ACK ve Window taraması
UDP raw ICMP port unreachable taraması
ICMP taraması (ping-sweep) TCP Ping taraması Direct (non portmapper) RPC
TCP/IP Fingerprinting ile uzaktan işletim sistemi tanımlama, Reverse-ident taraması

sayılabilir. nmap güvenlik dünyasında sistemin dışarıya sunduğu servisleri test etmek için kullanılan standart araçtır. Örnek olarak firewall programlarının korumasını test etmek için nmap kullanılmaktadır. nmap programını http://www.insecure.org/nmap/index.html adresinden edinebilirsiniz. NT sürümünü ise http://www.eEye.com adresinden elde edebilirsiniz. nmap programının çok fazla parametresi olduğu için komut satırından kullanımı kolay değildir. Ancak Linux için geliştirilen grafik arayüzü [B]nmapfe[/B] sayesinde kullanım kolaylığı getirilmiş durumda.

Aşağıda örnek bir nmap taraması (nmapNT programı kullanılmıştır) gösterilmiştir:

[COLOR=blue]Starting nmapNT V. 2.53 by ryan@eEye.com
eEye Digital Security ( http://www.eEye.com )
based on nmap by fyodor@insecure.org ( www.insecure.org/nmap/ )

We skillfully deduced that your address is 0.0.0.0
Host www.xxx.xxx (95.40.33.34) appears to be up ... good.
Initiating SYN half-open stealth scan against www.xxx.xxx (95.40.33.34)
Caught ICMP packet:
Here it is:
4 0 45 97 0 0 0 0 45 0 0 28 4D 78 0 0
2E 6 5D AD 60 3 1 5E 5F 28 21 22 F7 24 2 20
63 7B 59 A8
Adding TCP port 135 (state open).
Adding TCP port 21 (state open).
Caught ICMP packet:
Here it is:
4 0 3F CB 0 0 0 0 45 0 0 28 49 4B 0 0
2E 6 61 DA 60 3 1 5E 5F 28 21 22 F7 24 7 EC
63 7B 59 A8
Adding TCP port 80 (state open).
Adding TCP port 6668 (state open).
Caught ICMP packet:
Here it is:
4 0 42 4E 0 0 0 0 45 0 0 28 B9 6F 0 0
2E 6 F1 B5 60 3 1 5E 5F 28 21 22 F7 24 5 69
63 7B 59 A8
Adding TCP port 139 (state open).
Caught ICMP packet:
Here it is:
4 0 31 64 0 0 0 0 45 0 0 28 9C 16 0 0
2E 6 F F 60 3 1 5E 5F 28 21 22 F7 24 16 53
63 7B 59 A8
Caught ICMP packet:
Here it is:
4 0 45 DE 0 0 0 0 45 0 0 28 6C 36 0 0
2E 6 3E EF 60 3 1 5E 5F 28 21 22 F7 24 1 D9
63 7B 59 A8
Adding TCP port 6667 (state open).
The SYN scan took 10 seconds to scan 1523 ports.
For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled
Interesting ports on www.xxx.xxx (95.40.33.34):
(The 1517 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
80/tcp open http
135/tcp open unknown
139/tcp open unknown
6667/tcp open irc
6668/tcp open irc

TCP Sequence Prediction: Class=trivial time dependency
Difficulty=4 (Trivial joke)

Sequence numbers: 3F065 3F066 3F071 3F07A 3F07E 3F088
Remote operating system guess: Windows NT4 / Win95 / Win98

Nmap run completed -- 1 IP address (1 host up) scanned in 72 seconds[/COLOR]

[I](Not: Çıktıda güvenlik nedeniyle tarama yapılan sistemin adı verilmemiştir. Yukarıdaki IP adresi intranette kullanılan adrestir.)[/I]

En son satırda görüldüğü gibi nmap işletim sistemini tahmin etmektedir ve çok büyük bir olasılıkla bu tahmin doğru çıkmaktadır. Bunu yapmak için nmap bir fingerprint veritabanı kullanmaktadır. Her işletim sistemi değişik hatalı paketlere [I](IP paketlerine)[/I] değişik cevaplar verebilmektedir. Yüzde yüz doğru olmasa da sistemlerin verdiği bu spesifik cevaplara bakarak sistemin hangi işletim sistemin i kullandığı tahmin edilebilir.

[B][COLOR=red]Ticari Tarayıcılar[/COLOR][/B]

Güvenlik tehditleri günümüzde öyle bir duruma geldiki artık bu açıkları test eden ve raporlayan tarayıcı yazılımları ticari alanda da görmeye başladık. Yukarıda anlatılan ve daha burada adı geçmeyen yüzlerce tarayıcı bedava olarak dağıtılmaktadır. Ancak güvenlik firmaları sistemlerde ve ağlarda sistem açıklarını tespit eden profesyonel yazılımlar da geliştirip pazara sunmaktadır.

İşte [B]Inter Security Systems [/B](ISS) ticari tarayıcı üreten ilk firmalardan birisi olmuştur. ISS ilk olarak yine aynı ada sahip [B]Internet Security Scanner [/B](ISS) ürünüyle ünlenmiştir. ISS ilk ticari otomatik tarayıcılar arasındandır. ISS ilk olarak piyasaya sürüldüğünde SATAN gibi çok fazla tartışmalara neden olmuştu, bu tür bir yazılımın zaten güvensiz olan internet güvenliğini daha fazla tehlikeye atacağı savunulmuştu.

Uzaktaki sistemlerdeki zayıflıkları otomatik olarak tarayan bu yazılımın neden piyasaya sürüldüğü konusunda tartışmalar vardı. Programın yazarı Christopher Klaus bu tartışmalara şu şekilde nokta koyuyordu:

[COLOR=darkblue][I]"Güvenlik açıklarını herkesin görmesi sağlanarak bunların ne kadar tehlikeli olduğunu bilmeleri gerekiyor zira cracker'lar zaten bu açıklardan haberdar ve istedikleri gibi kullanabiliyorlar."[/I][/COLOR]

[B]SAFEsuite[/B]

ISS hemen hemen tüm UNIX türevlerinde çalışan kaynak koduyla birlikte dağıtılan ve hacker ve cracker'ların favori araçlarından olan bir yazılımdı. ISS aracı çıktıktan sonra çok kısa bir sürede çok popüler bir yazılım haline geldiği için geliştiriciler bu yazılımı daha da geliştirerek SAFEsuite yazılım paketini ortaya çıkardılar.

SAFEsuite gerçekte bir çok değişik tarayıcıdan oluşmaktadır. Bunlar: intranet tarayıcısı, WEB tarayıcısı, Firewall tarayıcısı.

SAFEsuite yazılımı da SATAN gibi GUI arabirimine sahiptir böylece konfigürasyon ve kullanımı çok basittir. Programın diğer bir önemli özelliği ise Windows platformunda çalışmasıdır. Ürün Windows NT platformu için geliştirilmiştir.

SAFEsuite belirtilen ağ üzerinde sendmail , FTP , NNTP , Telnet , RPC , NFS modülleri üzerinde çeşitli saldırıları test etmektedir. ISS geliştiricileri aynı zamanda ürüne sistemlerin IP Spoofing ve DoS saldırılarına karşı zayıflıklarını ölçme özelliği de eklemişlerdir.

Geliştiricilerine göre (doğal olarak tabi :) SAFEsuite proaktif UNIX ağ güvenlik tarayıcıları içinde en hızlı ve en ayrıntılı olanıdır. Konfigürasyonu kolaydır ve çok hızlı bir şekilde tarama işlemini yapar ve anlaşılabilir sonuçlar çıkarır.

SAFEsuite kararlı bir hacker gibi seçilen güvenlik zayıflıklarını ağ üzerinde tarar. SAFEsuite seçilen raporlama seçeneklerine göre bulunan zayıflıklar hakkında, bulunduğu yer, detaylı bir açıklama ve bunlara karşı yapılması gereken işlemleri vermektedir.

SAFEsuite programı hemen hemen tüm platformlarda çalışmaktadır. Sun OS , Solaris , HP/UX , IBM AIX , Linux platformlarında çalışmaktadır.

[B]Retina[/B]

eEye Dijital Security tarafından Windows NT platformu için geliştirilmiş ticari bir yazılımdır Retina. Internet, Intranet ve Extranet sistemlerinde bulunan güvenlik zayıflıklarını bularak listeler ve ağda bulunabilecek muhtemel açıkları belirleyerek bu zayıflıkları gidermek için önerilerde bulunur.

Retina'nın aşağıda listelenen sistemler ve servisler için zayıflık tarama modüllerini içerir:

- NetBIOS
- HTTP, CGI ve WinCGI
- FTP
- DNS
- DoS zayıfklıkları
- POP, SMTP ve LDAP
- TCP/IP ve UDP
- Registry
- Services
- Usersı ve Accounts
- Password zayıflıkları
- Publishing extensions
- Database servers
- Firewalls ve Routers
- Proxy Servers

Retina programını çalıştırabilmek için Windows NT 4.0 ve SP3 (yada daha üstü) sistemi gerekmektedir. Bellek ve disk özellikleri artık günümüzdeki standart bir PC için o kadar da önemli değil. (32 MB bellek ve 16 MB disk alanı istiyor). Örnek bir Retina tarama ekranını görmek için [url=http://www.guvenlikhaber.com/doccenter/guvenlik/retina.gif]tıklayınız.. [/url]

Retina kullanımı çok kolay ve çıkardığı rapor ve özellikle her bir bilgi için ayrıntılı açıklama verme özelliğiyle iyi bir tarayıcı olarak nitelendirilebilir.

Retinanın ana ekranında Scanner modülünü seçip Adres kısmına IP numarası yada domain adını yazdığınızda program bu sistemde tarama yapmaya başlayacaktır ve bulduğu tüm sonuçları ekranda listeleyecektir. Bu listede herhangi bir bilginin üzerine tıkladığınızda ise alt tarafta bulunan açıklama kısmında bu zayıflıkla ilgili daha ayrıntılı bilgi verecektir ve bazı durumlarda yapılması gerekenleri de listeleyecektir.

Browser modülünü seçip Adres kısmına bir web adresi yazdığınızda ise normal bir web browser olarak kullanabiliyorsunuz Retinayı.

Retina Tools menüsünden Reports, Policies, Options menülerinden bir çok özelliği gereksinimlerinize göre ayarlanabiliyor. Kullanılacak maksimum thread sayısı gibi performans ayarları yapabiliyorsunuz. Çıkarılacak rapor biçimini seçebiliyorsunuz.

Retina'nın cracker'lar için vazgeçilmez bir özellik olan IP aralığı tarama özelliği de mevcuttur. İlk bakışta Adres kısmında tekbir IP adresi yazılabiliyor. Ancak Edit menüsünden IP Range seçilirse ekrana From ve To adında iki IP adres kısmı gelmektedir buraya taranacak IP adres aralığı girilebiliyor. Retina bu aralıktaki tüm sistemleri tarayarak zayıflıkları çıkaracaktır. Ancak Cracker'lar için kötü haber Retina sadece C sınıfı adres aralığını test edebilmektedir, A ve B sınıfı gibi daha geniş bir IP aralığını test etmek için kullanamazsınız!

Retinayı diğer tarayıcılardan ayıran önemli bir özellik yaygın hacker saldırı metodlarını (CHAM) uygulamasıdır. CHAM taramasını Tools->Polices menüsünden ayarlayabiliyorsunuz. Retina FTP, POP3, SMTP ve HTTP üzerinde yaygın hacker saldırı metodlarını denemektedir. Yani Retina bilinen zayıflıkları taramasının yanı sıra yapay zeka içeren CHAM modülü sayesinde hacker'ların yaygın olarak kullandıkları teknikleri kullanarak sistemlerde bilinmeyen muhtemel zayıflıkları da bulmaya çalışıyor!

Retina'yı Windows NT sunucusu ve Windows 9x, Windows NT Workstation istemcileri olan Intranet ağında test ettiğimde gerçekten çok şaşılacak sonuçlar çıkardı. Herhangi bir Windows sistemindeki bulunabilecek tüm muhtemel zayıf noktaları, paylaşım dizinlerini, kullanıcı şifre bilgileri gibi, çok kısa bir sürede çıkardı. Ayrıca bu zayıflıkları gidermek için de yeterli bir seviyede açıklama verebilmektedir.

Retina programının 30 günlük deneme sürümü http://www.eeye.com/html/Products/Retina/download.html adresinden edinilebilir.

WebTrends Security Analyser

WebTrends güvenlik analiz aracı Windows 9x, NT, 2000, Linux ve Solaris sistemlerindeki zayıflıkları tarayarak Intranet ve Extranet'lerde bulunan açıkları yakalayarak bu açıkları kapatmak için önerilerde bulunmaktadır.

[COLOR=green][I](Bu yazıyı hazırlarken henüz WebTrends programını tam olarak indiremediğim için test etme imkanım olmadı bu yüzden daha fazla yorum yapmayacağım program üğzerinde.)[/I][/COLOR]

Tabi bu tür profesyonel yazılımlar cracker'lar için değil sistem güvenliğini artırmak için sistem ve ağ yöneticileri için geliştirilmiş yazılımlar. Zira cracker'lar zaten sistemlerde tarama yapmak için piyasada bulunan yüzlerce bedava dağıtılan programları kullanmaktadırlar yada yetersiz kalan yerlerde kendileri yazmaktadırlar.

Yukarıda verilen yazılımlar devasa (büyüklük yönünden) olmalarının nedeni genel tarayıcılar olmalarındandır. Yani bir ISS tarayıcı size sisteminizde olabilecek muhtemel tüm zayıflıkları listeleyecektir ve önmelerini gösterecektir. Ancak cracker'lar için genel bilgi değil özel bilgiler önem kazanmaktadır. Bir cracker bir sistemde zayıf olduğunu düşündüğü noktaya odaklanacak ve bu noktada daha ayrıntılı tarama yapmak için daha özel tarayıcılar kullanacaktır.

Örnek olarak bir sunucuda HTTP sunucusu çalıştığını gören ve sunucu olarak Windows NT ve IIS olduğunu öğrenen bir cracker hemen NT ve IIS'e özel bir tarayıcı kullanarak CIS yada twwwscan gibi (bu programlarla ilgili geniş bilgiyi ileride özel zayıflık tarayıcıları bölümünde bulabilirsiniz) daha ayrıntılı bir tarama yapmaya çalışlacaktır.

Güvenlik tarayıcı yazılımlarını da anti-virüs yazılımları gibi sürekli olarak güncellemek gerekmektedir. Her geçen gün yeni bir açık çıkmaktadır ve dolayısıyla bu yazılımların veritabanına eklenmektedir. Ancak yine de bu tür yazılımlara tamamen güvenmek hiç bir zaman yeterli değildir. Sadece bir güvenlik tarayıcısı kullanan bir sistem yöneticisi "dünyanın en iyi tarayıcısını kullanıyorum. Benim sistemim tamamen güvenli" diyemez. Sadece bir tarayıcıya güvenmek yerine kullanıcı şifreleri, backup, network segmentation, program güncelleme gibi bir dizi konuda iyi bir güvenlik politikasına sahip olmak gerekmektedir.

[U][COLOR=red][B]Windows ve Unix platformu için yazılmış diğer bazı tarayıcı örnekleri[/B][/COLOR][/U]

Windows NT sisteminin çok fazla yaygın kullanılmaya başlanmasından sonra bu platform için de çok değişik özelliklerde tarayıcılar yazılmıştır. Şimdi bu tarayıcılardan bazı örnekler göreceğiz:

[B]SuperScan:[/B] SuperScan çok hızlı çalışan bir port tarayıcısıdır. Ayrıca ping ve hostname çözümleme işlemlerini de yapmaktadır. SuperScan programı uzak bir bilgisayara ping atarak sistemin ayakta olup olmadığını kontrol edebilmektedir. Host adını IP adresine, yada reverse lookup ile IP adreslerini host adlarına çevirebiliyor. SuperScan'in asıl kullanımı ise verilen bir ağ üzerinde, ki bu bir başlangıç ve bir de bitiş IP numarası verilerek yapılıyor, tarama yaparak bulduğu sistemleri ve bu sistemlerde açık olan TCP portlarını listelemektedir. Bu liste bir ağaç yapısında verilmektedir. Ayrıca bulduğu portlarda hangi servisin çalıştığını ve bağlantı sonucu gönderdiği cevabı listede göstermektedir.

Port tasraması için standart servislerin bulunduğu bir port listesinden tarama yapılacak portları işaretleyebiliyorsunuz. Ayrıca tarama yapılacak sistemleri bir text dosyasından da okutabilirsiniz.

SuperScan çeşitli modem hızlarında sağlıklı sonuç alabilmek için ana ekranında speed seçeneği içermektedir. Bar şeklinde olan bu seçenek en hızlıya alınırsa SuperScan programı güvenli olarak tarama yapabileceği en yüksek hızlda çalışlacaktır. En düşük seviyede ise yavaş bir modemle bile tarama yapacaktır.

SuperScan programı Windows ortamında kullanılabilecek çok iyi bir port tarayıcısıdır. Özellikle sistem yöneticileri yerel ağda hangi sistemlerin olduğunu ve hangi servislerin çalıştırıldığını bir kaç saniye içinde otomatik olarak bulabilirler. Böylece kendilerinden habersiz olarak kullanıcıların ne yaptığını anlayabilirler yada kendilerinden habersiz olarak sisteme yeni bir makinenin bağlanıp bağlanmadığını anlayabilirler.

Örnek SuperScan ekranını görmek için [url=http://www.guvenlikhaber.com/doccenter/guvenlik/superscanner.gif]tıklayınız.[/url] SuperScan programı http://members.home.com/rkeir/software.html adresinden edinilebilir.

[B]Hoppa PortScanner:[/B] Basit ve sade bir arayüze sahip olan Hoppa PortScanner verilen bir sistem üzerinde yada belli bir IP aralığındaki tüm sistemleri tarayarak açık olan portları listeler. Programın kolay kullanımının yanı sıra en önemli özelliği ise sistem kaynaklarının durumuna göre aynı anda çalışabilecek thread sayısını belirleyebiliyorsunuz.

Multitasking bir işletim sisteminde thread denilen program parçacıkları paralel olarak çalışabilmektedirler. Thread sayısını 100 ile 700 arasında verebiliyorsunuz. Bu da en fazla 700 portu aynı anda tarayabilmeniz demektir.

Hoppa port tarayıcısı açık bulduğu port üzerinde hangi servisin çalıştığını göstermez sadece açık bulduğu portları listeler. Bu yönden fazla kullanışlı değildir.

Hoppa PortScanner örnek ekranı için [url=http://www.guvenlikhaber.com/doccenter/guvenlik/hoppaportscanner.gif]tıklayınız[/url]. Programı www.huizen.dds.nl/~hoppapro yada www.surf.to/hoppa adresinden edinebilirsiniz.

[B]PortScanner: [/B]PortScanner Unix için yazılmış , açık TCP portlarını taramaya yarayan bir ağ aracıdır. Program güvenlik testi yapmak, fonksiyonilite testi ve servis onaylama testi yapmak için geliştirilmiştir. PortScanner'ın bazı özellikleri:

Hemen hemen tüm UNIX sistemlerine port edilebilme özelliği,
Kullanım kolaylığı, dahili yardım mesajları ve man sayfası,
300 satırdan az kaynak koduyla kompakt bir tarayıcı,
Daha kolay kullanım için X-Windows arayüzü,
Standart ağ servislerini hızlı tarayabilmek için Strobe-tarama desteği,
Tüm makineleri sıra ile tarabilmek için Subnet tarama özelliği

Program http://www.ameth.org/~veilleux/portscan.html adresinden indirilebilir.

[B]Queso:[/B] Çok iyi bir doğruluk derecesiyle uzak bir sistemde kullanılan işletim sistemini (OS) tahmin eden bir araçtır. Queso çeşitli geçerli vede geçersiz tcp paketlerini karşı tarafa gönderir ve aldığı cevapları elinde bulunan, daha önceden belirlenen ve çeşitli işletim sistemlerinin verdiği cevaplardan oluşturulan, cevap listelerine bakarak karşı tarafta çalışan işletim sistemini tahmin eder.

Karşı tarafta bulunan işletim sisteminin doğru olarak bilinmesi cracker ve hacker'lar için çok önemlidir. Zira karşıda ne olduğunu bilmeyen bir saldırgan nasıl bir plan izleyeceğini çıkaramaz. Onun için OS tahmin etme araçları cracker saldırıları için önemli bir başlangıç noktası sayılmaktadır. Cracker'lar ilk olarak gerek nmap gerekse Queso gibi işletim sistemi tahmin araçları kullanılarak karşı tarafta hangi sistemin ve hangi sürümün çalıştığını tespit etmeye çalışlırlar.

Prrogram http://www.apostols.org/projectz/queso/ adresinden indirilebilir.

[U][B][COLOR=red]4.5.2 Host Tarayıcıları [/COLOR][/B][/U]

Yerel sistem üzerinde bulunan zayıflıkları tarayan ve bulduğu zayıflıklar hakkında rapor çıkaran ve bu zayıflıklar hakkında yapılması gereken işlemleri listeleyen tarayıcılar. Bu tip tarayıcılardan bazılarını görelim:

[B]COPS (Computer Oracle Password and Security):[/B] COPS UNIX sistem yöneticileri için tasarlanmış bir dizi güvenlik araçlarından oluşur. COPS, SATAN'ın da yazarlarından olan Dan Farmer tarafından yazılmıştır. Sistem üzerindeki muhtemel güvenlik açıklarını test ederek rapor çıkarır. COPS paketindeki bulunan araçlar sistemde, dosya dizin ve cihazların erişim haklarını, /etc/passwd ve /etc/group dosyalarının içeriğini, /etc/hosts.equiv ve ~/.rhosts dosya içeriğini ve SUID durumunlarındaki değişmeleri kontrol etmektedir.

COPS değişik üvenlik açıklarını test eden programlara sahiptir. test edilen başlıca güvenlik açıkları:

[li] dosya dizin ve cihaz erişim izın kontrolleri
[li] zayıf şifreler
[li] password ve group dosyalarının içerik format ve güvenlik kontrolü
[li] /etc/rc* ve cron(tab)'da çalışan programların kontrolü
[li] root-SUID dosyalarının kontolü
[li] önemli kay dosyaları ve binary dosyalar üzerinde CRC [li] kontrolü ile değişiklik kontrolü
[li] kullanıcı ana dizinin yazım haklarının kontrolü
[li] anonymous ftp zayıflıkları
[li] sınırsız tftp kontrolü, sendmail zayıflıkları,SUID [li] uudecode problemleri, inetd.conf içindeki gizli shell komutları
[li] değişik root kontrolleri, arama yolundaki geçerli dizin, /etc/host.equiv'de bulunan bir '+' , sınırsız NFS mount'ları gibi

Program http://www.fish.com/cops adresinden edinilebilir.

[B]Tiger:[/B] Tiger UNIX üzerinde güvenlik kontrolü yapan bir yazılımdır. Bourne Shell script, C kodu ve data dosyalarından oluşan bir yazılım paketidir. Sistem konfigürasyon dosyalarını, dosya sistemlerini ve kullanıcı konfigürasyon dosyalarını güvenlik problemleri yönünden tarar ve rapor çıkarır.

[B]check.pl:[/B] Check.pl tüm dosya sisteminizi (yada sadece belirtilen bir dizini) tarayan bir Perl script programıdır. Dosya sisteminizde bulunabilecek suid, sgid, sticky ve yazılabilir dosyaları kontrol ederek muhtemel güvenlik açıklarını rapor eder.

Zayıflık içerebilecek dosyaları ekrana listeler. Program http://opop.nols.com/proggie.html adresinden edinilebilir.

[B][COLOR=red]4.5.3 Saldırı Tarayıcıları (Intrusion Scanners)[/COLOR][/B]

Saldırı tarayıcıları zayıflıkları belirleyebilen ve bazı durumlarda aktif olarak bu zayıflıklardan yararlanarak sistemlere girmenizi sağlayan yazılımlardır. Şimdi bu tür yazılımlardan başlkıcalarını inceleyelim.

[B]Nessus:[/B] Kullanımı kolay istemci/sunucu yapısına sahip en iyi saldırı tarama araçlarından birisidir. Sunucu Linux, FreeBSD, NetBSD ve Solaris üzerinde çalışmaktadır. İstemciler ise Linux, Windows üzerinde çalışmaktadır ayrıca bir Java istemcisi de mevcuttur.

Nessus'un en önemli özelliği diğer tarayıcılar gibi standart bir yapıya sahip olmamasıdır. Örnek olarak Nessus standart bir sevisin standart bir portta çalıştığını varsaymaz. Eğer web sunucusu 80 yerine 1234 portunda çalışıyorsa Nessus bu servisi bulup güvenlik açıkları yönünden tarayacaktır. Ayrıca Nessus bulduğu zayıflıklardan yararlanarak sisteme girmeye çalışacaktır.
Nessus'un başlıca özellikleri:

-Plug-in desteği. Nessus'ta tüm güvenlik testleri harici bir plugin olarak yazılmıştır. Böylece yeni testler için yeni plugin'ler yazabiliyorsunuz.
-NASL (Nessus saldırı scrip dili), kolay ve hızlı bir şekilde güvenlik testleri yazabilmek için geliştirilmiş script dili desteği,
-Güncel güvenlik zayıflık veritabanı,
-İstemci/Sunucu modeli. Sunucu programı ana makinede çalışıp esas saldırıları yaparken istemci programı herhangi bir makineden çalışarak sunucu programını kontrol etmektedir,
- Sunucunun çalıştığı makinenin kapasitesine göre sınırsız sayıda sistem aynı anda test edilebilir,
-Akıllı servis yakalama özelliği. Nessus standart herhangi bir portta hangi servisin çalıştığını otomatik olarak anlayabilir. Örnek olarak 33456 portunda çalışan bir FTP sunucusunu yada 8080 portunda çalışan bir HTTP sunucusunu yakalayabilir,
- Cracker davranışı. Nessus standar bir cracker davranışına sahiptir. Yani güvenlik açıkları olabilecek yazılımların sürümlerine bakmaz ve hemen hemen tüm güvenlik açıklarını test eder. Buffer overflow testlerini, mail yönlendirme testlerini yapar hatta sistemi tamamen göçertmeye çalışır,
- Tam bir raporlama özelliği. Nessus sadece sisteminizde bulunan zayıflıklar hakkında listeme yapmaz aynı zamanda cracker'ların bu zayıflıklardan yararlanarak sisteminize girmemesi için ne yapılması gerektiğini de raporlamaktradır.

Çok hızlı güvenli ve modüler yapısıyla Nessus hacker dünyasının vazgeçilmez araçlarından biridir.

Program http://www.nessus.org/ adresinden indirilebilir.

[B]SAINT (Security Administrator's Integrated Network Tool):[/B] SAINT bilgisayar ağlarının güvenlik testi için yazılmış aslında SATAN'ın güncellenmiş ve geliştirilmiş bir sürümüdür.

SAINT'te Nessus gibi istemci/sunucu yapısına sahiptir. Ancak istemci programı yerine bir www arayüzünü sahiptir. SAINT finger, NFS, NIS, ftp, tftp, rexd, statd ve diğer bazı servisleri tarayarak uzak sistemler ve ağlar hakkında toplayabildiği kadar bilgi toplar ve SAINT topladığı bu bilgileri okuması çok kolay olan bir formatta rapor eder. Güvenlik açıklarına önemlilik derecesine göre bir numara verir. SAINT ayrıca yeni tarama modüllerinin eklenmesine de izin verir.

SAINT devamlı olarak güncellenmektedir. Progamın en son sürümü 3.1.2 21/12/2000 tarihinde yayınlanmıştır.

Bu yeni sürümüyle SAINT'te yapılan yenilikler:

-OpenBSD/NetBSD ftpd buffer overlfow zayıflıklarını test etme özellikleri,
-Güncellenmiş Kerberos dökümanları,
-Unix bilmeyenler için SAINT yükleme dökümantasyonu,
-rpcgen kaynak kodunda bulunan hataların düzeltilmesi,
-Linux için güncellenmiş konfigürasyon scriptleri

SAINT ayrıca diğer güncel zayıflıklarını da test etmektedir.

-Lotus Domino Sunucusunun zayıflık içeren sürümlerinin testi,
-iPlanet Web Sunucusunun zayıflık içeren sürümlerinin testi,
-BIND'da yeni bulunan buffer overflow zayıflıklarının testi,
-Microsoft IIS'te bulunan file name inspection zayıflıklarının testi,
-Microsoft PhoneBook Server zayıflıkları,
-Cisco Catalist anahtarlarında bulunan zayıflıkların testi,
-Serv-U FTP Server zayıflıkları,
-MailMan'de bulunan zayıflıklar,
-Microsoft terminal Server'da bulunan zayıflıklar,
-YaBB ve phf'te bulunan yeni zayıflıkların testi

SAINT programı http://www.wwdsi.com/saint/ adresinden indirilebilir.

[B]Cheop:[/B] Cheop ağdaki sistemleri tarayarak sistemde çalışan işletim sistemlerini bulan ve domain'in bir resmini çıkaran ilginç bir araçtır. Cheop sistem yöneticisinin ağ kaynaklarının yer tespiti, erişim, teşhisi ve yönetimi için kullanabileceği grafiksel bir programdır.

Cheop GIMP Tool Kit kullanılarak Linux sistemi için yazılmıştır ancak diğer sistemlerede port edilebilmektedir.
Cheop grafik ortamda ağnızdaki çeşitli sistemleri grafiksel olarak görmenizi sağlamaktadır. Ekranda görünen sistemlerin çalıştırdığı işletim sistemi tahmin edilerek o işletim sistemine göre belli ikon çıkmaktadır. Örnek olarak Solaris çalıştıran bir makine Solaris ikonu, Linux çalıştıran bir makine Linux ilonu ile gösterilmektedir. Cheop büyük ağlarda çok hızlı bir şekilde host tarama işlemi yapmanızı sağlamaktadır. Ağınızda çeşitli kaynaklara ulaşmak için kullanabileceğiniz yolları (routes) gösterebilmektedir.

Grafik ortamda gösterilen bir sistem üzerine sağ tuşla bastığınızda bu sistemin desteklediği servisler menüde çıkmaktadır ve istenilen servise kolayca bağlanılabilmektdir.

Ağda açık servisleri görebilmek için genel bir port tarayıcısına sahiptir ayrıca bu servislerde çalışan programların sürümlerini alarak sunucuların güncel olup olmadıklarının kontrolünü sağlar.

Cheop dahili [B]SNMP[/B] desteğine sahiptir. Ayrıca kritik sunucularınızı e-posta ve standart log işlemleriyle takip ederek oluşan hataları raporlamaktadır.

Program http://www.marko.net/cheops adresinden indirilebilir.

[B] Ftpcheck / Relaycheck :[/B] Ftpcheck ve Relaycheck basit ağ araçları olup ftp suncularında ve mail sunucularında bulunabilecek zayıflıkları tararlar.

Ftpcheck ağdaki sistemleri tarayarak anonymous ftp sunucuları için tarama yapar.

Relaycheck ise SMTP sunucularını tarayarak eposta yönlendirme yapıp yapmadıklarını kontrol eder. Relay (yani yönlendirme) yapan SMTP sunucuları aslında bir zayıflık oluşturmaktadırlar. Bu tip sunucular 3. partiler tarafından spam postalar göndermek için kullanılabilirler.

Bu araçlar kullanılarak ftp ve SMTP sunucularında bulunabilecek bu önemli açıkları tespit edebilirsiniz.

Program http://david.weekly.org/code/ adresinden edinilebilir.

[B]BASS (Bulk Auditing Security Scanner):[/B] Internette çeşitli bilinen zayıflıkları taramak için kullanılan bir araç.

http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz adresinden edinilebilir.

[COLOR=red][/COLOR][B]4.6 WWW Zayıflık Tarayıcıları[/B]
Yukarıda verilen genel zayıflık tarayıcılarının dışında bir de servise özel zayıflık tarayıcıları vardır. [B]WWW/CGI[/B] zayıflık tarayıcıları gibi.Internet üzerinde bulunan sunucularda günümüzde artık güvenlik nedeniyle genellikle dışarıya sadece HTTP, FTP, SMTP gibi sunucular açılmaktadır. Tabi bu durumda sisteme saldırmak için elinde sadece bu servislerin olduğunu bilen cracker bu servislere özel tarayıcılar kullanacaktır.

Cracker'lar için en önemli zayıflık tarayıcıları şüphesiz www/cgi zayıflık tarayıcılarıdır. Bu tarayıcılar uzak bir sistemdeki HTTP portu (80) üzerinden çalışarak sunucuda bulunabilecek zayıflık içeren cgi programlarını taramaktadır. cgi programları HTML sayfalarını yayınlayan Web sunucu programı ile sistem arasındaki iletişimi sağlayarak dinamik sayfa üretmeye yarayan programlardır. Kısaca açıklamak gerekirse kullanıcı bir sayfaya girdiğinde karşısına gelen bilgiler sabir bir sayfadan değil kullanıcının girdiği bilgilere göre sistem üzerinden çalıştırılan bir programın ürettiği çıktıdan gelmektedir. Ancak bu yapı çok büyük bir güvenlik açığı oluşturmaktadır. Eğer bir cgi programında herhangi bir zayıflık varsa internet üzerinden kötü niyetli bir kişi bir şekilde bu zayıflığı kullanarak ana sistem üzerinde istediği kodları çalıştırma fırsatına sahip olabiliyor!

Şimdi cracker'ların gözde araçlarından olan bir kaç tarayıcıyı inceleyelim:

[B]twwwscan [/B]
twwwscan Windows platformu için geliştirilmiş çok hızlı çalışan bir komut satırı www zayıflık tarayıcısıdır. Programın 19-11-2000 tarihi itibariyle en son sürümü 0.61dir. twwwscan klasik bir cgi zayıflık tarayıcısıdır. Verilen adresteki HTTP portunu tarayarak belirli zayıflıklar içeren cgi programlarını yada dosyalarını taramaktadır.

Programın iyi tarafı sürekli olarak güncellenmesi ve en son çıkan zayıflıkları tarayabilmesidir. Ayrıca programın çok küçük oluşu ve komut satırından kolayca çalışması zayıflıklar hakkında bilgisi olan bir cracker için vaz geçilmezdir.

twwwscan bulunan zayıflıklar hakkında hiç bir açıklayıcı bilgi vermemektedir. Sadece tarama yaparak sunucuda bulduğu zayıflık içerebilen dosyaları listelemektedir. Bu zayıflıkların ne olduğunu ve nasıl yararlanılabileceğini öğrenmek için internette bu zayıflıkla ilgili olarak tarama yapmak gerekmektedir. Bu programın eksik yanı, ancak bu konularda bilgisi olan biri için çok kısa zamanda sisteme sızılabilecek açıkları ortaya çıkaran mükemmel bir araçtır.

twwwscan ayrıca saldırı yakalama sistemlerine yakalanmamak için [COLOR=red]Anti-IDS URL encoding [/COLOR]desteğine sahiptir. -ids parametresi ile anti-IDS url encoding desteği kullanılabilir. twwwscan bu sürümüyle yaklaşık 300 kadar hatayı taramaktadır.

twwwscan ilk olarak karşı tarafta çalışan sunucunun tipini ve sürümünü belirliyor ve buna göre ilgili taramaları yapıyor. Mesela bir Windows NT sisteminde IIS 4.0 sunucusunda UNIX zayıflıklarını taramıyor sadece IIS 4.0'da bulunabilecek zayıflıkları tarıyor. Ancak sunucuyu tespit edemediği durumlarda ise tüm zayıflıkları otomatik olarak taramaya başlıyor.

Örnek bir twwwscan tarama işlemi sonucu aşağıda gösterilmiştir

Programın güvenlikhaber tarafından incelemesini http://www.guvenlikhaber.com/incelemeler#twwwscan adresinde bulabilirsiniz.
Program http://search.iland.co.kr/twww adresinden indirilebilir.

[B]Not:[/B] [I]Güvenlik konusuna yeni olanlar için bu aracı kullanmalarını tavsiye etmem. Bunun yerine daha genel olan tarayıcıları kullanmalarını yada CIS gibi bulunan zayıflıklar hakkında ayrıntılı açıklama ve link sağlayan programları kullanmalarını öneririm. [/I]

[B] CIS[/B]
[COLOR=blue]Cerberus Information Security [/COLOR]tarafından yazılmış bedava cgi güvenlik tarayıcısı olan CIS, tarama seçenekleri ve çıktı formatıyla en iyi www tarayıcısı olarak değerlendirilebilir. CIS Windows NT ve 2000 sistemlerinde çalışmaktadır.

CIS WWW zayıflıklarının yanı sıra, SQL, ftp, bir dizi NT zayıflığı, SMTP, POP3, DNS ve finger taramaları da yapmaktadır. Her bir modül bir DLL olarak oluşturulmuştur. Dolayısıyla program modüler bir yapıya sahiptir bu dll dosyalarının en son sürümleri internetten indirilerek CIS'i devamlı güncel tutulabilir.

CIS çok kolay kullanıma sahip bir grafikarayüz ile gelmektedir. İlk olarak taranacak sistem belirtiliyor. Sonra taranacak modüller tek tek seçilebiliyor. ALL seçeneği ile tüm modüller seçilebilir. Daha sonra start işlemi ile tarama işlemi başlatılır ve CIS bulduğu zayıflıkları html formatında raporlamaktadır. Tüm tarama işlemleri bittikten sonra view report seçeneği ile browser içinden elde edilen sonuçları görebilirsiniz. Raporun iyi tarafı html formatında olması ve bulduğu zayıflıklar hakkında ayrıntılı açıklama vermesi ve ilgili adreslere linkler vermesidir.

Örnek CIS ekranı [url=http://www.guvenlikhaber.com/doccenter/guvenlik/cis.gif]tıklayınız.[/url] Program http://www.cerberus-infosec.co.uk/cis.shtml adresinden indirilebilir.

[B]Whisker[/B]
Whisker Rain Forest Puppy tarafından Perl dilinde yazılmış ve komut satırından çalışan bir zayıflık tarayıcısıdır. Whisker tarayacağı zayıflıkları scan script dosyalarından (scan.db, server.db...) alır. scan.db dosyası default olarak whisker'la birlikte gelirken yeni db dosyaları whisker web sistesinden inidirilebilmektedir. Örnek olarak server.db, frontpage.db, otherport.db, multiple.db, brute.db. Bu scriptlerin her biri değişik alandaki zayıflıkları taramaktadırlar.

Whisker aynı zamanda anti-IDS url encoding desteğini de içermektedir. Çıktı olarak bulduğu zayıflıkları ekrana listelemektedir. Ancak -W parametresi ile HTML formatında çıktı vermesi sağlanabiliyor. Bu özelliğiyle whisker web sitesinden bir cgi program olarak çalıştırılabilmektedir.

Örnek bir whisker tarama sonucu aşağıda verilmiştir.

[COLOR=blue]-- whisker / v1.4.0 / rain forest puppy / www.wiretrip.net --

= - = - = - = - = - =
= Host: www.target.com
= Server: Microsoft-IIS/4.0

+ 200 OK: GET /cfdocs/cfcache.map
+ 200 OK: GET /scripts/cfcache.map
+ 200 OK: GET /cfcache.map
+ 200 OK: GET /cfdocs/cfmlsyntaxcheck.cfm
+ 200 OK: GET /cfide/Administrator/startstop.html
+ 200 OK: GET /cfdocs/snippets/evaluate.cfm
+ 200 OK: GET /cfdocs/snippets/fileexists.cfm
+ 200 OK: GET /cfdocs/snippets/gettempdirectory.cfm
+ 200 OK: GET /cfdocs/snippets/viewexample.cfm
+ 200 OK: GET /cfdocs/exampleapp/docs/sourcewindow.cfm
+ 200 OK: GET /cfdocs/exampleapp/publish/admin/addcontent.cfm[/COLOR]...


Whisker program http://www.wiretrip.net/rfp/2/index.asp adresinden indirilebilir.

[B]Not:[/B] [I]whisker'ı Windows altında çalıştırabilmek için Perl derleyicisine ihtiyaç duymaktadır.Bunun için ActivePerl'ü www.activestate.com adresinden indirebilirsiniz.[/I]

[COLOR=red][/COLOR][B]4.7 Sonuç[/B]

Bu bölümde güvenlik dünyasında sistem güvenliğini daha fazla geliştirmek amacıyla kullanılan tarayıcılara değindik ve başlıcalarına yer verdik. Tabi bu tarayıcılar sistem yöneticileri tarafından kullanıldığı kadar cracker'lar tarafından da çok sıklıkla kullanılmaktadır. Aslında cracker'lar tarafından daha fazla bilinmekte ve kullanılmaktadırlar. Acaba bu tür araçları, kulanımını ve özelliklerini bir yana bırakın, varlığından haberi olan kaç tane sistem yöneticisi vardır ki! :)

Benim sistem yöneticilerine ve güvenlikle uğraşanlara tavsiyem bu tarayıcıları deneyerek isteklerine ve gereksinimlerine uyanlarını tespit ederek bunları düzenli olarak kullanmalarıdır. Zira [U][COLOR=red][B]"güvenlik bir çözüm değil bir süreçtir"[/B][/COLOR][/U]. Böylece ağınızdaki açıkları cracker'ların yada script kiddie'lerin bulup sisteminize zarar vermesinden önce siz bulabilirsiniz.

Görüldüğü gibi aslında bir web sayfasının hacklenmesi, bir sisteme girip kredi kartlarının çalınması gibi olaylar öyle şaşılacak ve hayret edilecek gizemler değildir. Bir çok hacking işlemi aslında şaşılacak kadar kolay şekilde yapılabilmektedir. Bir sistem yöneticisinin göz ardı ettiği basit açıklar bunlara imkan vermektedirler. İşte cracker ve script-kiddie'ler bu tür araçları kullanarak sistemlerdeki zayıflıkları tespit edip girebilmektedirler.

Ancak tabi bu noktada şunu da eklemek istiyorum. Sistemimizi şu anda mevcut olan tüm tarayıcılar tarafından tarayıp test edip bulunan açıkları gidersek bile tam olarak güvende olduğunuzu hiç bir zaman düşünemeyiz. Zira sisteme girmek için kararlı olan, ve sistemde bulunan sunucuların sürümlerini öğrenip güvenlik hata listelerinde bu sürümlerle ilgili çıkacak yeni zayıflıkları devamlı olarak takip eden bir sürü kötü niyetli kişi her zaman olacaktır..

Bu yüzden ağınızda aldığınız tedbirlerin yanı sıra bu tür güvenlik listelerine üye olarak çıkan yeni zayıflıkları devamlı olarak takip etmek gerekmektedir. Bu tür listelerin en başında [url=http://www.securityfocus.com/]BugTraq[/url] listesi gelmektedir. Bunun yanında [url=http://www.cert.org/]CERT[/url] uyarılarını takip edebilirsiniz. Tabi bunlar genel listelerdir,

Bakınız: (süt, duvar, ırak, dünya, din, aşk, nil, rüya, yol, akıl, dil, özel, kelime, ırmak, namaz, kazâ, nebî, bu ne, acı, bilgisayar, saklama, yapay zeka, network, firewall, kaynak kodlar, spoof, asp)