Trojan-PSW.Win32.Kesk.a

Virüs Adı : Trojan-PSW.Win32.Kesk.a

Diğer versiyonu : color=#0000ffTrojan-PSW.Win32.Kesk

Tür : PSW Trojans

Bulunma Tarihi : 19 Nisan 2007

Diğer İsimler :

• Trojan-PSW.Win32.Kesk.a ( color=#0000ffKaspersky Lab)
• PWS-Zimenok ( color=#0000ffMcAfee)
• PWSteal.Trojan ( color=#0000ffSymantec)
• Trojan.PWS.Zimenok.6 ( color=#0000ffDoctor Web)
• Troj/Zimenok ( color=#0000ffSophos)
• PWS:Win32/Kesk.A ( color=#0000ffRAV)
• TROJ_ZIMENOK.06 ( color=#0000ffTrend Micro)
• TR/KeskPSW.B ( color=#0000ffH+BEDV)
• Win32:Trojan-gen. ( color=#0000ffALWIL)
• Trojan.PSW.Kesk.A ( color=#0000ffSOFTWIN)
• Trojan Horse ( color=#0000ffPanda)
• Win32/PSW.Kesk.A ( color=#0000ffEset)

Açıklama : Bu trojan kullanıcı şifrelerini çalmak için design edilmiştir.
dosya ismi pe.exe dir.Boyutu 12 mb dır.Trojan i çalıştırdıgınızda kendisini windows sistem klasörlerine orjinal ismiyle kopyalamaktadır.Ayrıca bu trojan kendisini kayıt defterine de atmaktadır.Trojan çalıştırıldıgı anda regeditde aşadaki directory e kopyalanmaktadır

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Kernel.Tsk" = ""

Bilgisayarınızı yeniden başlattıgınızda trojan otomatik olarak çalışcaktır.

Trojan bütün şifreleri sistem belleğinde çalışan "WNetEnumCachedPasswords" isimli dosyada saklamaktadır.Ve bu şifreleri

zim***ov8@mail.ru adresine göndermektedir.

Temizleme : Bilgisayarınızda herhangi bir virüsprogramı bulunmuyor ise veya virüs programlarınız güncel değil ise trojan i silmek için aşağıdaki adımları izleyiniz...

1. Görev yöneticisi altında bulunan dosyaları öldüren programları kullanınız
2. Orjinal trojan dosyasını Güvenli Mod Da İnternet Bağlantısı Olmadan arama yaptırarak Bulunuz Ve Siliniz.
3. Sistem Klasörlerinden De Aynı Şekilde Kaldırınız.
4. Aşağıdaki parametreleri Kaldırınız.
   [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
   "Kernel.Tsk" = ""
5. Virüs Programınızı Update Ediniz.

Güncel Virüs Programı Edinmek İsterseniz :

http://www.kaspersky.com/trials

Adresinden trial sürümünü indirerek deniyebilirsiniz.

KAYNAK [ http://www.viruslist.com/en/viruses/encyclopedia?virusid=34759]

Warezov Virüsünün Yeni Versiyonu Salgın Halinde Yayılıyor

Güvenlik çözümleri konusunda dünya çapındaki önde gelen firmalardan biri olan Kaspersky Lab, 19 Nisan 2007 sabahı Warezov isimli e-posta solucanının son versiyonu olan Warezov.nf’nin salgın halinde yayıldığını bildirdi. Salgın en üst düzeye ulaştığında, zararlı e-posta trafiğinde %75 ila %80 düzeyine ulaşmıştı.

Bu solucan internet üzerinde mesajlara eklenti halinde yayılıyor. Mesaj eklentisinde solucanın kendisi olmamakla birlikte, zararlı kodu internet üzerinden bilgisayara indirerek çalıştıran bir bileşen mevcut. Bu solucan aynı zamanda bilgisayarda mevcut antivirüs programlarını da devre dışı bırakıp siliyor. Warezov.nf solucanı, internet üzerindeki bir siteden başka zararlı programlar da indiriyor ve bu zararlı programlar sayesinde solucanın bulaştığı bilgisayar, internet üzerinden uzaktaki kullanıcılara erişim hakkı verilmesine neden oluyor.

Salgının en üst düzeye ulaştığı anda Warezov.nf, zararlı e-posta trafiğinin %10 civarında artmasına neden oldu. Başka bir deyişle her 10 zararlı mesajdan birisi Warezov.nf içeriyordu. Ancak 19 Nisan akşamı e-posta trafiğindeki Warezov.nf hacmi oldukça düştü.

Bu solucanla ilgili ilk örneğin ele geçirilmesinden yarım saat kadar sonra Kaspersky Lab, bu virüsü tespit eden ve temizleyen güncellemeyi 19 Nisan sabahı yaptı. Kişisel ürünlerimiz olan Kaspersky Antivirus 6.0 ve Kaspersky Internet Security 6.0 kullanıcıları programlarında "koruma önlemleri" (proactive security) seçeneğini işaretledikleri taktirde güncelleme olmadan dahi Warezov.nf solucanına karşı koruma altındalar. Kaspersky Lab Türkiye distribütörü 64K Bilgisayar olarak tüm internet kullanıcılarına antivirüs programlarının veritabanını güncellemelerini ve tanımadıkları kişilerden gelen e-postaları açmamalarını tavsiye ediyoruz.

http://www.64k.net
http://www.kaspersky.com.tr
http://www.kaspersky.com
http://www.viruslist.com/en/viruses/encyclopedia?virusid=156735

Yeni Hızlı Mesajlaşma Virüsü Skype Kullanıcılarını Hedefliyor - Psykse.A

Yeni Hızlı Mesajlaşma Virüsü Skype Kullanıcılarını Hedefliyor - Psykse.A

F-Secure pazartesi günü yeni bir instant-messaging virüsünün Skype’ın chat özelliğini kullanarak yayıldığını duyurdu.
Pykse.A olarak adlandırılan kurtçuk (worm) hızlı mesajlaşma uygulamarını etkileyen diğer tehditlere benziyor. Hedef Skype kullanıcısı bir yazı ve JPEG dosyasına gidiyor görünen bağlantı adresi içeren bir chat mesajı alıyor.

Bağlantı adresine tıklandığında kullanıcı kötü amaçlı dosyaya yönlendiriliyor. Bu dosya çalıştırıldığında kullanıcının Skype listesindeki bütün kullanıcılara gönderiliyor. Ek olarak kullanıcının Skype durum mesajını "Do Not Disturb" olarak değiştiriyor.

Pykse çeşitli web sitelerini de otomatik olarak ziyaret ediyor fakat bu sitelerde kötü amaçlı dosyalar yok. Virüs bulaşan makineleri saymak için kullanılıyor gibi görünüyor.

Pykse Windows sistemlerde Skype çalıştıran kullanıcıları etkiliyor.

Podloso - Linux çalıştıran iPod’lar için ilk virüs - Oslo Virus

Podloso - Linux çalıştıran iPod’lar için ilk virüs - Oslo Virus

Kaspersky Lab iPod taşınabilir medya aygıtları için tasarlanmış bir virüsü tespit ettiklerini duyurdu.

Podloso olarak adlandırılan virüs gerçek bir tehdit oluşturmayan, daha çok yapılabileceğinin kanıtı niteliğinde bir virüs.

Virüsün çalışabilmesi için iPod’un linux kullanıyor olması gerekiyor. Virüs iPod’a bulaştığında programların demo sürümlerinin olduğu klasöre kendisini kopyalıyor. Virüs kullanıcının müdahelesi olmadan otomatik olarak çalışmıyor.

Çalıştırıldığında virüs cihazın disk sürücüsünü tarayarak tüm çalıştırılabilir .elf formatındaki dosyalara bulaşıyor. Bu dosyalardan biri çalıştırıldığında ekranda "You are infected with Oslo the first iPodLinux Virus" yazısını çıkartıyor.

Podloso tipik bir yapılabileceğinin-kanıtı türünde virüs. Bu tip virüsler spesifik bir platforma virüs bulaştırmanın mümkün olabildiğini gösterme amaçlı olarak yaratılıyorlar. Kötü amaçlı aktiviteler gerçekleştirmiyorlar. Ek olarak, Podloso yayılamıyor. Cihaza bulaşabilmesi için kullanıcının virüsü iPod hafızasına kaydetmesi gerekiyor.

Kaynak: http://www.kaspersky.com/news?id=207575511

http://www.viruslist.com/en/weblog?weblogid=208187356

Troj/Paproxy-D

Virüs Adı : Troj/Paproxy-D
Türü : Trojan
Etkilediği sistemler : Windows ailesi

Sisteme Veridiği Zararlar ve Etkileri :

• Sisteme uzaktan izinsiz girişleri olanak sağlar
• Registry kayıtlarıyla oynar-değiştirir
• Bilgisayarta güvenlik zaaflarına neden olur, açık alın anti-virüs programlarına etkisiz hale getirmeyi dener.

Takma Adları :
- Trojan-Proxy.Win32.Agent.ay
- BackDoor-CUX

Güvenlik-Temizleme Dosyası :
[ http://www.sophos.com/downloads/ide/paprox-d.ide ]

# Bazı Bilgiler

Troj/Paproxy-D kendisini sistem dosyalarının için kopyalar ve \\lsrss.exe adında bir dosya oluşturur. Dosya oluştuktan sonra kendisi ;
\\software.inf
\\mslogsvr.ini
\\msnextlog.dll
şeklinde yan dosyalar oluşturur. lsrss.exe dosyası explorer.exe çalıştığı zaman aktif hale gelir ve harekete geçer.Troj/Paproxy-D HTTP alt yapsını kullanan bir trojan türüdür. Çalıştığı zaman sistemin trojanın sahibi olan kişinin eline geçmesini sağlar.

Registry oynamalar :

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
LogService
\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
LogService
\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run
LogService
\\lsrss.exe
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
Shell
Explorer.exe \\lsrss.exe

Kaynak : www.sophos.com
[ Derleyem : // Sibernetix ]

Tomtom virüsleri

Tomtom virüsleri

Geçtiğimiz günlerde Reuters haber ajansının bildirdiği üzere “uzman bir web sitesi” son zamanlarda TomTom uydu rota tertibatında virüslerin olduğunu açığa çıkardı.

Belirtilmeyen ise, yukarıdaki web sitesinin gerçekte Davey Winder’ın virüsler hakkında derin analiz ve TomTom’un cevaplarını tamamen sağladığı Daniweb’deki blog sayfası olduğu.

Orada şöyle yazıyor: “endişeli bir kullanıcıdan gelen bir email ile başladı. Kaygısının nedeni olan yeni aldığı TomTom GO 910 satnav unit’in bilgisayarına bağlandıktan sonra, aniden anti virüs yazılımının uyarı vermesi. Bir değil, aslında iki uyarı…”

Evet, iki virüs, ancak TomTom’a göre müşterilerinin bilgisayarlarına olan risk son derece düşük.

Maalesef, Sophos uzmanları aynı fikirde değil ve diyorlar ki: “TomTom SatNav cihazları Linux tabanlı, ve zararlı yazılım tarafından etkilenemezler. Ancak, cihaza USB portları vasıtasıyla bağlanan Windows kullanıcıları zararlı kodları çalıştırmayı risk ediyorlar ve masa üstü bilgisayarlarına buşaştırıyorlar.”

TomTom, virüslerin virüs tarama yazılımları ile güvenle kaldırılabileceği üzerinde duruyor, peki ya bilgisayarlarındaki dijital bulaşmayı fark etmemiş olan kullanıcılar?

Fakat, Sophos’a göre, bu hikayenin en endişe verici yanı anti virüs yazılımı olmayan müşteriler ve “Windows bilgisayarlarına virüs bulaştırdıklarının farkında olmayan müşteriler.”

Esasında virüsler neredeyse şans eseri keşfedildi, örneğin TomTom GO bilgisayara bağlandığında ve cihaz üzerindeki içeriği depolama başladığında.

İlk olarak, TomTom soruna önem vermedi fakat Winder’ın hareketinin çıkardığı gürültünün ardından firma, kendi resmi web sitesinde bu virüsler hakkında tavsiyeler gösteren bir sayfayı yayınlamayı seçti. Sayfada tam olarak Winder’ın virüs hakkındaki düşünceleri belirtiliyor.

Tayvan’da MSN virüsü keşfedildi

Tayvan’da MSN virüsü keşfedildi

MSN bağımlıları dikkat! Taipei Times, Tayvan’da binlerce insanın, saldırganlar tarafından kullanıcıların bilgisayarlarının kontrol altına alınabilmesine olanak tanıyan, MSN vasıtasıyla iletilen bir virüsün etkisi altında olduğunu bildirdi.

Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.

Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve MSN Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.

Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan MSN temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.

Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.

Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.

Linux.Jac.8759

Linux.Jac.8759

Linux.Jac.8759 Linux altındaki dosyaları etkileyen bir virüstür. Virüs, bulunduğu dizindeki ELF çalıştırılabilir dosyalarını etkilemektedir.

Açıklama
Risk Faktörü: Düşük
Etkilenen Sistem: Linux

Linux.Jac.8759 çalıştırıldığında, bulunduğu dizinlerdeki çalıştırılabilir dosyalara yazabilme izni olup olmadığını kontrol eder ve bulduğu dosyaları enfekte etmeye çalışır. Virüs, ps uzantısı olan dosyaları ve x86 (Intel) platformu için yaratılmamış dosyaları etkilemeyecektir.
İlgili virüs dosyanın headerındaki birçok alanı modifiye etmektedir ve bu modifikasyonlardan biri dosyanın etkilenmiş olduğunu belirlemek için kullanılmakta, bu sayede aynı dosyanın birden fazla kez virüsten etkilenmesi engellenmektedir.

Çözüm
www.symantec.com adresinden edinebileceğiniz Norton Antivirüs programı bu virüsü güvenli bir şekilde temizleyebilmektedir. Ayrıca önceki kullanıcılar, LiveUpdate fonksiyonunu kullanarak bu virüs için gerekli güncellemeleri indirebilirler.

ref: http://securityresponse.symantec.com/avcenter/venc/data/linux.jac.8759.html

Sun Solaris Telnet Kurtçuğu (Worm)

Sun Solaris Telnet Kurtçuğu (Worm)

Yeni bir kurtçuk (worm) Sun Solaris telnet daemon’daki (in.telnetd) bir güvenlik açığını (VU#881872) kullanıyor. Güvenlik açığı kurtçuğun (veya saldırganların) telnet ile (23/tcp) yüksek imtiyazlar ile login olmasına izin veriyor.

Açıktan yararlanmak kolay olduğu için ve yeterli teknik bilgi herkese açık olduğu için herhangi bir saldırgan veya bu kurtçuk etkilenen sistemlere kolaylıkla girebiliyor.

Kurtçuğun karakteristiklerinden bazıları:

* VU#881872’den yararlanıp telnet kullanarak adm veya lp kullanıcısı ile login olmak
* /var/adm/wtmpx izinlerini -rw-r--rw- ye çevirmek
* /var/adm/sa altında .adm klasörünü yaratmak
* /var/adm/ ve /var/spool/lp/ altında .profile dosyalarını yaratmak
* port 32982/tcp üzerinde bir arkakapı (backdoor) kurmak
* adm ve lp kullanıcıları için crontab kayıtlarında değişiklik yapmak
* telnet (23/tcp) servisi veren diğer sistemleri taramak

Çözüm:

Sun kurtçuk ile ilgili bilgiyi ve telnet daemon’unu kapatarak kurtçuğun yaptığı değişiklikleri düzelten bir script’i yayınladı.
Açığı kapatmak için Sun Alert Notification 102802’ye göz atınız.

Geçici Çözüm:

Telnet’i kapatın
Telnet aşağıdaki komutu root olarak çalıştırarak kapatılabilir
# /usr/sbin/svcadm disable telnet
Telnet erişimini kısıtlayın
Telnet (23/tcp) servisine Internet gibi güvenilmeyen ağlardan erişimi kısıtlayın.
Telnet yerine SSH kullanın
SSH uzaktan sistemlere girişte telnet’ten daha güvenli bir metod sunar. Genel bir tavsiye olarak SSH kullanımı öneriliyor.

Kaynak: http://www.us-cert.gov/cas/techalerts/TA07-059A.html

Referanslar:

* US-CERT Vulnerability Note VU#881872
* Recovering from an Incident
* Sun Alert Notification 102802
* Solaris in.telnetd worm seen in the wild + inoculation script
* inoculate.local
* CVE-2007-0882

Etkilenen Sistemler

* Sun Solaris 10 (SunOS 5.10)
* Sun "Nevada" (SunOS 5.11)
Hem SPARC hem de Intel (x86) mimarisi etkileniyor.

Tüm Online Virüs-Spyware Taramaları

SISTEMINIZDEKI, VIRUS VE SPYWARE’LERI TARAMAK ICIN WEB USTUNDEN ONLINE TARAMA HIZMETI VEREN WEBSITELER

PANDAACTIVESCAN TARAMA

http://www.pandasoftware.com/products/activescan.htm

NORTON ONLINE TARAMA

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

KASPERSKY ONLINE TARAMA

http://www.kaspersky.com/virusscanner

BITDEFENDER ONLINE TARAMA

http://www.bitdefender.com/scan8/ie.html

F-SECURE ONLINE TARAMA

http://support.f-secure.com/enu/home/ols.shtml

TREND-MICRO ONLINE TARAMA ( PC-CILLIN )

http://us.trendmicro-europe.com/housecall/v6.5/?us=2

MCAFEE ONLINE TARAMA

http://us.mcafee.com/root/mfs/default.asp?cid=9435

AVAST ONLINE TARAMA

http://onlinescan.avast.com/

ARCAVIR / ARCABIT ONLINE TARAMA

http://arcaonline.arcabit.com/scanner.html

TENEBRIL FREE SPYWARE SCAN

http://www.tenebril.com/scanner/main_start.php

Free Online Spyware ( Casus Yazılım ) Scanner’lardan biri.

SPYWARE GUIDE FREE SCAN

http://www.spywareguide.com/onlinescan.php

Free Online Spyware ( Casus Yazılım ) Scanner’lardan biri.

SPYSWEEPER FREE SPYWARE SCAN

http://www.webroot.com/shoppingcart/tryme.php?bjpc=64023&vcode=DT02C

Online PC GÜVENLİK KONTROLÜ !

https://www.grc.com/x/ne.dll?bh0bkyd2

Online TROJAN KONTROLÜ !

http://scan.sygatetech.com/

AUDIT MY PC

http://www.auditmypc.com/

ZONE-ALARM SECURITY SCAN

http://download.zonelabs.com/bin/free/cm/index4.html

http://www.freedom.net/viruscenter/onlineviruscheck.html

{E-Mail Adresi Sallayın,Yüklenenlere izin verin :) }

E-Trust Antivirus Web Scanner

http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

Command On Demand
Authentium, Inc. 2002-2005

http://www.commandondemand.com/eval/cod/index.htm

spyXposer

Panda Software’den Yeni Ücretsiz Casus Tarayıcı

27,000 den fazla tanımlı spy tarıyor.

Günlük olarak güncelleniyor.

Adres : http://www.pandasoftware.com/spyxposer/pavspy1.asp

TRENDMICRODAN YENI PORT TARAMA SİSTEMİ / HACKER KONTROL

www.hackercheck.com

Kablosuz Ağlara Saldırı ve Defans

Kablosuz ağlar uzun bir zamandır aktif halde kullanıma geçmesine rağmen Türkiye’ de 2005 itibarı ile yaygınlaşmaya başladı. Bu yaygınlaşma daha önce .com (dot com) da olduğu gibi kontrolsüz, hızlı ve ön araştırmasız oldu.
Buna bir de ilk kablosuz ağ standartlarının güvenlik açıkları eklenince birçok kablosuz ağ kullanan kurum, şahıs ve firma ciddi güvenlik açıkları ile baş başa kaldılar ve adeta switch’ lerinin, router’ larının bir slot’ unu halka açtılar.
Bu çok geç kalmış makalede bu ağların teorik olarak neden güvensiz olduğu, pratik olarak nasıl kırılabileceği ve güvenli kılınabileceği üzerine eğilmeye çalışacağız. Makale genel olarak bir saldırgan ve araştırmacı gözü ile konuyu ele alcaktır.

Anahtar Kelimeler

Wireless, Kablosuz İnternet, Wardriving, Warchalking, GPS, Wi-Fi, Antenna, Kablosuz Ağ Güvenliği, Ağ Güvenliği, Wireless Security.


Legal / Kanuni Konular

Tahmin edebileceğiniz gibi yazıdaki şifre kırma, kablosuz ağ sistemlerine izinsiz girme vb. yöntemlerini sadece kendi yetkininizin olduğu ağda uygulamanız gereklidir, aksi takdirde çeşitli ülkelerin kanunları karşısında izinsiz sistem girişi gibi çeşitli suçları işlemiş olabilirsiniz ve tabii ki gene tahmin edebileceğiniz gibi bu tip bir durumda makalenin yazarı olan ben bir sorumluluk kabul etmeyeceğim, bütün bu sorumluluk size aittir.
Bunun yanında belirtmek gerekir ki kablosuz ağların tespiti suç değildir.







Hasar ve Kazanç


Olaya iki boyuttan bakarsak bir kurum ya da kablosuz ağ sahibi için hasar ne olabilir? Bir saldırgan için ya da canı sıkılan biri için kazanç ne olabilir?
Hasar;

• Firma ağınıza izinsiz giriş
  • Bilgilerin çalınması
  • E-mail’ ların okunabilmesi
  • Daha ciddi saldırıların ilk adımı
  • …
• İnternetinizin sömürülmesi
• Firma ağının kullanılmaz hale gelmesi (DOS – Denial Of Service)
• Limitli bir ADSL ev kullanıcısına yüklü fatura gelmesi

Kazanç;

Eğer oyunun Hasar Veren kişisiyseniz de tabii ki yukarıdakilerin tersine;

• Ücretsiz İnternet
• İntikam
• Ticari bilgilerin ele geçirilmesi
• Zevk
• Vs…

Alabilir, kazanabilirsiniz…
Sanırım artık neden insanların bu tip bir şey yapmak için uğraşacakları hakkında daha fazla fikriniz olmuştur. Güvenlikte ki yanlış düşüncelerden biri kendinize “Beni/bizi neden hacklesin ki?“ diye sormanızdır. Dolayısıyla siz de basitçe bir hedef olabilirsiniz.
Sorun Nerede Başlıyor?

Sniffing , ARP Poisoning yıllardır kullandığımız kablolu ağlarda ciddi sorunlar arasında gelse de bu ataklar özellikle küçük oranizasyon ve ağlarda önemsiz sayılabilirler. Başlıca nedeni bu atakları yapabilecek saldırganının network (ağ)’ e fiziksel erişimi olmalıdır. Daha geniş şekilde bakarsak bu ya bir çalışan ya da içeriye kadar girebilmiş bir saldırgan olmalıdır.
Bunun fiziksel güvenlik ve firma içerisindeki güvenlik politikası kısmını bir yana alırsak genelde bu tip bir yaklaşımı güvenli olarak kabul edebiliriz.
Ancak kablosuz ağlar bu güven zincirinin yegane özelliğini kırıyor ve fiziksel erişimi bir adım daha genişletiyor. Artık siz kablosuz olarak ağınıza bağlanabildiğiniz gibi size yakın bir saldırgan yada bedava internete girmek isteyen komşunuzun sevimli çocuğu da sizin ağınıza erişebiliyor.
Tabii ki kablosuz ağlar geliştirilirken bu da düşünülmüş ve bu tip ağlar için belli güvenlik yöntemleri geliştirilmiş, işte sorunda burada bir yerlerde başlıyor.


Kablosuz Ağlarda Güvenlik Opsiyonları

Bir kablosuz ağınız varsa seçebileceğiniz belli güvenlik seçenekleri vardır, Popülerlik sırasına göre bazıları;

• Open Security
• WEP
• WPA
• RSN
• RADIUS / WPA-RADIUS
• Wireless Gateway
• Firmalara özel çözümler

Burada “Open Security“ olarak geçen güvenlik modeli –Güvenlik modeli mi?-. şifre gerektirmeyen bağlantı demektir. Yani herhangi biri bu kablosuz ağlara basitçe bağlanabilir.
WEP, Open Security ve WEP iki en çok kullanılan modeldir. Open Security dediğimiz gibi bir güvenlik sağlamamaktadır ancak WEP bir güvenlik adımı olarak ortaya çıkmıştır. WEP kablosuz ağların güvenliğini sağlamak için geliştirilmesine rağmen çok büyük hatalar ile ciddi bir fiyaskodur.
WPA, Gene açık bulunan ancak WEP’ e göre çok daha güçlü bir opsiyon.
RADIUS, Klasik dial-up modem desteği veren ISP lerdeki sistemdir. Bağlantı kuran istemci (client) bir bilet (ticket) sistemi ile kablosuz ağa bağlanır. Ortak bir server olduğundan doğru implemantasyonda gayet güvenli bir kablosuz ağ deneyimi sağlayabilir. Ancak ev kullanıcıları ya da küçük organizasyonlar için çok kullanışsızdır. RADIUS-WPA ise aynı sistemin WPA desteklisidir.
RSN, RSN’ i WPA’ nın gideceği nokta olduğunu söyleyebiliriz ancak RSN henüz tam olarak oturmamıştır, WPA RSN’ in temellerinde yer almaktadır. Henüz piyasada RSN destekleyen AP (Access Point) bulmakta zor bir iştir. WPA TKIP e dayalıyken RSN AES i de desteklemektedir. İçerisinde anahtar dağıtımı gibi çözümleri de getirmektedir. Bu yazıda RSN e daha fazla değinmeyeceğiz.
Wireless Gateway, Özellikle halka açık yerlerde kablosuz ağ sunan firmaların kurduğu sistemlerdir. Ağ ile kablosuz cihazlar arasında bir bağlantı noktası oluşturur, giren kişiler bu sistemden bir defa onay aldıktan sonra ilgili kota ve ayarlara göre gerçek ağa (mesela internet) erişebilirler. Ülkemizde TTNet’ in sunduğu TiWinet ve özellikle Amerika’ da bir çok yerde gördüğünüz kablosuz internet erişimlerinde de bu metod kullanılır. Bu sistemin de kendi içerisinde farklı potansiyel açıkları ve saldırı noktaları vardır.
Firmalara Özel Çözümler, WEP’ in kısa sürede patlaması sonucu Cisco gibi firmalar kendi AP (Access Point)’ lerine özgü güvenlik önlemleri getirdiler. Bunların birçoğu geniş kitleler tarafından test edilmediğinden gerçek bir güvenlik önlemi olarak kabul edilemez. Bir kısmı zaten mantık hataları içerirken, henüz açığı bulunmamış olanlaraysa gerçek bir güvenlik gereksiniminde ciddi bakılamaz. Ek olarak ciddi bir limitasyonları ise bağlantı kuracak kablosuz cihazlarda (STA - Station) genelde kendi donanımlarını ya da özel bir ekstra program istemeleridir.
Bu makalede önce Kablosuz Ağları tespit etmek (wardriving tadında), Daha sonra WEP ile şifrelenmiş kablosuz ağları kırmayı ve son olarak ta ağlarımızı güvenli kılmak için alınabilecek önlemlere değineceğiz.



WEP Nasıl Kırıldı?


WEP’ in çözmesi gereken üç temel öğre vardı;

• Kimlik Doğrulama (Authentication)
• Gizlilik (Privacy)
• Bilgi Değiştirme Kontrolu (Message Modification Control)

Bunun harici aslında çözülmesi gereken Cevap Kontrolü (Replay Control), Erişim Kontrolü, Anahtar Dağıtımı ve Korunması konularına ise hiç WEP girmemiştir. Bu sorunların birçoğu bir sonraki WPA, RSN gibi standartlarda hep çözümlenmeye çalışılmıştır.
Kimlik Doğrulama

İlk adım kimlik doğrulamadır, ağa bağlanan kişinin gerçekten ağa bağlanma yetkisinin olup olmamasının düzenlenmesi, ikinci adım ise ağa bağlı kişinin trafiğinin diğer kişiler tarafından izlenilememesi.
WEP’ in kimlik doğrulaması şu şekilde çalışıyor;




Cihaz istek gönderiyor, AP cevap veriyor eğer bağlantı tipi “Open Security” olsaydı cihaz Onay Mesajı (Authentication Message) istek gönderirken Algoritma Numarasını 0 olarak gönderecekti, bağlantı WEP ise bu numara 1 olur.
Şekildeki 3. ve 4. adımlar sadece WEP bağlantılarında olur ve onay mekanizması için kullanılır. 4. adımda AP geriye Durum Kodu (Status Code) gönderir.
Burada iki ciddi sorun vardır. Birincisi STA’ in (kablosuz cihaz) karşıdaki AP hakkında ve AP’ nin şifreyi bilip bilmemesi hakkında gerçek bir fikri olmamasıdır. Çünkü sadece onay cevabı göndermektedir.
Yani herhangi bir AP olabilir ve her isteğe doğru durum kodu ile cevap verebilir. Ancak tabii ki WEP şifresini bilmediğinden dolayı daha sonradan gelen paketleri açamayacak (WEP simetrik şifreleme kullanmaktadır) , dolayısıyla çalışmayan bir AP olacaktır. Ancak karşılıklı onay (mutual) bu noktada kaybolmuş oluyor.
Daha sonra da WPA’ da çözülen implemantasyon hatalarından biri de buradaki onay süreci ve data trafiğinin şifrelenmesinde aynı anahtarın kullanılması sorunudur.
İkinci sorun ise bağlantıyı dinleyen (sniff) kişi iki kritik bilgi yi alır. 2. adımdaki şifrelenmemiş metin (plaintext) ve 3. adımdaki şifrelenmiş hali (chipertext). Bu da potansiyel olarak güzel bir kriptografik atak için hoş bir başlangıçtır.
Buraya kadar iki kritik nokta öğrendik ancak daha önemli bir bilgi şimdi geliyor;
WEP şifreleme için RC4 kullanıyor ve RC4’ te stream şifreleme yapar blok değil. RC4’ şifrelemede XOR u kullanıyor. XOR hakkında bilmeniz gereken en önemli şey bir datayı iki defa aynı anahtar ile XOR larsanız aynı datayı tekrar geri alırsınız.
Şimdi buradaki WEP onay sisteminde şu RC4’ ün 128 rasgele byte’ ı şu şekilde ortaya çıkabiliyor;

PlainText XOR RC4Byteları = Chipertext
İki defa XOR lama aynı sonucu veriyor,
ChiperText XOR RC4Byteları = PlainText
O zaman;
RC4Byteları = ChiperText XOR PlainText 

Yukarıdaki son satırın anlamı da RC4’ ün ürettiği ilk rasgele 128 byte’ ın hepsini bu onay prosedüründen çıkartabiliyoruz (bkz: Ek-2). Çünkü 2. adımda plaintext ve 3. adımda da chipertext’ i almış bulunmaktayız.
Dolayısıyla şu an saldırgan olarak onay alan bir kullanıcı gibi bizde elimizdeki bulduğumuz anahtar ile onay sürecini başarılı bir şekilde geçebiliriz (tabii ki daha önce de dediğimiz gibi bu bizim başka bağlantılar yapabileceğimiz anlamına gelmiyor).

Bilgi Değiştirme Kontrolü

Normalde WEP ICV (Integrity Check Value) ile paket/mesaj modifikasyonlarına karşı önlemini almış durumda ancak CRC hesaplamasındaki algoritma doğrusal arttığından dolayı paket ile birlikte bir dizi byte değiştirildiğinde ICV nin sonuçları gene doğru çıkabiliyor. Her ne kadar pratik bir atak olmasa da bu güvenlik sistemi de kırılmış durumda.



Gizlilik ve WEP Şifresinin’ in Kırılma Noktası

WEP aynı datanın tekrar oluşmaması için IV (Initialization Vector) kullanır. Bu trafik ile birlikte sürekli artan bir değerdir. Zaten bu IV yüzünden 64bit WEP aslında 40bit’ tir çünkü 24bit IV yer tutmaktadır. IV paket içerisinde şifrelenmez çünkü açma (decrypt) işlemi yapılırken kullanılacaktır, yegane amacı aynı metnin iki defa geçmesi durumunda farklı şifrelenmiş çıktıların oluşmasını sağlamaktır. Aksi takdirde kriptografik ataklar çok daha kolay olacaktır.
WEP’ te kullanılan IV’ nin boyutu (24bit) düşük bir boyuttur tekrara neden olabilir. Bu yüzden WPA (TKIP) gene RC4 e dayalı olmasına rağmen bu sorunu gidermiş ve IV boyutunu yükseltmiştir.
Eğer tekrar kullanılan IV numaralarını (collusion) yakalayabilir ve toplayabilirsek bundan şifreyi üretmek için bir adım atabiliriz. Buradaki en büyük avantajımız da ağlarda LLC Headerlar gibi klasik genişliği ve değeri sabit trafiğin her zaman olmasıdır. Bu sayede yeterli tekrar edilen IV toplayabilirsek şifreyi elde etme şansına sahip oluyoruz. Ancak bu da çok pratik bir saldırı değil.

Gerçek açık ise RC4’ ün WEP implemantasyonunda çıktı.

RC4’ ün açılış süreci şu şekilde;

RC4 çalışırken 2 dizi (array) kullanıyor. İlk dizi (s-box / state box) 0-255 arası tüm karakterleri içeriyor, ikinci 256 bytelık dizi ise “şifre (key)” ile dolduruluyor, şifre kısaysa tekrar edilerek 256 byte lık dizi tam olarak doldurulmuş oluyor.
RC4 çalışma mantığında her oluşturulan keystream’ in her byte’ ının bir öncekinden byte’ tan değişik olma ihtimali %50 ancak “Weaknesses in the Key Scheduling Algorithm of RC4” isimli makalesi ile RC4 ile rasgele üretim sürecinde zayıf anahtarlar (weak keys) olduğu ortaya çıktı.
RC4 Bu ilk açılış sürecinden sonra sbox ve kbox arasında belli bir algoritma ile (bkz: Ek3 RC4 VB.NET implemantasyonu) döngü başlıyor. Bu karıştırma işleminde ilk ve belli döngülerde bazı byteların tahmin edilebilme oranı normal tahmin edilebilirliğe göre çok daha yüksek, işte bu tahmin edilmesi daha kolay olan byte’ lar zayıf anahtarlar (weak keys) olarak geçiyor. Buradaki tahmin edilebilirliğin temel neden s-box’ ın içerisindeki datanın açılış süresinde biliniyor olması. Ancak ilk açılış ve döngüden sonra bu tip bir sorun kalmıyor ve RC4 sorunsuz ve güvenli olarak çalışıyor.
Normalde RSA RC4’ ün implemantasyonunda ilk 256byte’ ın kullanılmaması gerektiğini ve herhangi bir data ile geçiştirilmesini, sistemin bundan sonrakileri datayı kullanması gerektiğini bildiriyor. Ancak WEP’ te kullanılan RC4 implemantasyonu bu uyarıya kulak asmamış olması bugün bizim WEP’ i rahatça kırmamızı sağlıyor.
IV ile bu kırma işleminin ilişkisi de burada başlıyor. Daha önceden de dediğimiz gibi IV gerçek anahtara eklenilip RC4 işleme giriyor dolayısıyla her IV değiştirildiğinde RC4 tekrar şifrelemeye başlıyor ve bu açılış sürecinde (initialization) elimize yeni zayıf anahtarlar geçmiş oluyor. Yeterli derecede tekil (tekrar etmeyen, unique) IV içeren paket topladığımızda WEP’ i rahatça kırabiliyoruz. Çünkü elimizde kriptografik atak yapmaya yeterli derecede zayuf anahtar geçmiş oluyor.
Eğer weak key’ lere saldırı hakkında daha fazla teknik bilgi arıyorsanız şiddetle “Weak Keys in RC4” ve “Practical Exploitation of RC4 Weaknesses in WEP Environments” makalelerini tavsiye ederim.
Genelde 300.000 – 1.000.000 arasında tekil IV ile WEP şifreleri kırılabiliyor. Buradaki rakamın sabit olmamasının temel nedeni bunun bir olasılık hesabı olması. Aslında teorik olarak 10.000.000 IV ile de kıramama şansınız var.
İşin teknik boyutunu anladık, şimdi konuya gelelim.

Konuya Gelelim WEP’ i Kırma

Teori ve Teknik’ ten sonra bu bölüm işin pratiğini içeriyor.
Laboratuar Ortamı

Konu kablosuz ağlar olunca bir bilgisayardan fazla donanıma ihtiyacımız oluyor.
Aşağıdaki konfigürasyon benim testlerimi yaptığım sistem ama sizin aynı olması gerekmiyor ama tabii ki aynı desteklere sahip donanımlara sahip olmanız gerekebilir;

• Access Point (Kurban Ağ)
  • Linksys Wireless AP
    
• Notebook (Saldırgan)
  • OS – Windows XP / 2003 / Linux / Freebsd
    • Bazı yazılımlar sadece belli platformlarda çalışmaktadır
  • Wireless I - Intel PRO 2200 BG (entegre)
  • Wireless II – PCMCI Linksys WPC54G
  • Opsiyonel
    • İkinci wireless kartı opsiyoneldir
    • Ekstra Anten (daha geniş alanları kapsayabilmek için) ve Pigtail (anten ile wireless kartın arasına)
    • GPS (kendi yerinzin tam koordinatını almak ve AP’ yi haritada konumlandırabilmek için)
    • Notebook için Araç şarj kiti
    • IPAQ - Pocket PC (Ministumbler ile işyeri daha dar ortamlar için)
      
• Desktop (Kurban Ağ Kullanıcısı)
  • U.S. Robotics USB, XX5422 Wireless

Opsiyonel aygıtlar genelde bu süreçteki keyfinizi artıracaktır.
Çift kart hakkında bir not

Normalde saldırgan donanımın da tek kart yeterli olabilir ancak ben bir kart ile bir ağa bağlanıp interneti kullanmak ve diğer kart ile de paket toplamak, AP bulmak için çift kart kullanıyorum. Bu birçok sistemde katastrofik sorunlara da neden olabilir ve genelde tavsiye edilmez.
Donanım Konusunda Notlar

Eğer bu tip testler için bir donanım alacaksanız almadan önce bekleyin ve iyice araştırma yapın. Şu an bir çok yazılım bir çok donanımda kısıtlamalara sahip. Örnek olarak klasik Centrino işlemcili entegre wireless sürücüleri RF monitor kısıtlamasından dolayı Windows uygulamalarında çalışmıyor sadece kısıtlı Linux sürücüleri var. Aynı şekilde sadece Windows ta çalışan ve Linux ta çalışmayan donanımlar da mevcut. Ya da henüz gerekli sürücüleri yok vs.
Dolayısıyla kullanacağınız yazılımların gereksinimlerini iyice okuyun ve donanım seçerken mümkün olan en çok yazılımın destek verdiği donanımı seçmeye çalışın. Eğer hali hazırda bir donanımınız varsa bunun özel sürücüleri için ya da güncel sürücüleri için araştırma yapabilirsiniz.
Genel bir fikir vermek gerekirse ORINOCO ve Hermes chipset’ li kartlar genelde işinizi görecektir. Aynı şekilde GPS cihazlarının ve Access Pointlerin de desteklediği özellikler ve ilgili yazılımları iyice inceleyin.

Saldırı Adımları

Bir kablosuz ağa bir kaç saldırı modeli olabilir ancak en çok yapılmak istenilen şey bu ağa izinsiz bağlantı kazanabilmek ve paketleri dinleyebilmektir.
Klasik bir kablosuz ağa izinsiz giriş senaryosu şu şekilde ilerler;

• Kablosuz Ağ(lar)ı Tespit etme
• Paket Toplama
• Şifreyi Kırma (şifreli bir ağ ise)

Kablosuz Ağları Tespit Etme

Kablosuz ağları tespit etmek genelde çok basittir, örnek olarak kablosuz ağ olan bir yerde notebook’ unuzu açtığınızda notebook’ unuz civardaki kablosuz ağı otomatik olarak bulacaktır (WinXP ve bir çok üçüncü parti yazılım bu şekildedir). Ancak biz bu işi bir adım daha ileri götüreceğiz ve yüzlerce kablosuz ağı kısa sürede bulabilecek hale geleceğiz. Ek olarak kendini duyurmayan (SSID Broadcast yapmayan) ağları da bulmayı göreceğiz.
Kanallar (Channels)

Farklı frekanslarda 1-14 arası yayın kanalı vardır, AP ve STA bir kanaldan iletişim kurar. Örnek olarak AP 12. kanalda yayın yapıyorsa STA’ da o kanaldan bağlanır. Aynı şekilde AP ve STA’ in yaptığı broadcast (genel) isteklerde her kanal için ayrı yapılmalıdır.
Amerika’ da 11 kanal kullanılmaktadır, Kanada, Avrupa ve Ülkemizde 13 kanal kullanılır. Kanal GHz spektrum’ u 2.412’ den başlayıp her kanalda 0.005 Ghz yükselerek ilerler yani Kanal 13 2.472 Ghz’ dir.


SSID Nedir?

Herhangi bir kablosuz ağı bulduğunuzda size ağın SSID’ sini verir yani özetle AP’ nin ismini. Eğer bir AP’ de SSID Broadcast açık ise genelde saniyede 10 defa olmak üzere yayın yaptığı kanalda kendisinin orada olduğunu belirten bir şekilde sinyal gönderir (beacon).
İşte bu SSID beacon’ ları sayesinde biz de bu ağları otomatik olarak bulabiliriz. Bugün bir çok AP SSID Broadcast’ i kapatma özelliği sunuyor. SSID Broadcast kapatıldığında ise tabii ki bu AP’ leri otomatik olarak bulamıyorsunuz.
Bu durumda normal şartlar altında notebook’ unuza bu SSID i bizzat sizin girmeniz gerekiyor. Bunun bir diğer anlamı da bu AP’ nin SSID sini bilmek zorunda olduğunuz. Bu istekleri tamamen pasif yani AP’ ye bilgi göndermeden dinleyebilirsiniz.
Araştırma İstekleri (Probe Request)

AP’ lerin SSID göndermesi harici STA (Station, kablosuz cihaz – notebook, pda vb.) lerde araştırma isteğinde (probe) bulunurlar. Bu durumda da STA gene broadcast olarak kendisinin bir kablosuz ağ aradığını söyler. Bunu alan bir AP aynı SSID Broadcast gibi bunu cevaplar ve bizde hemen ilgili AP’ ye bağlanabilir ya da orada olduğunu öğrenebiliriz.
Normalde bu probing işlemi her kanalda 0.1 saniye kadar sürer ve aynı anda cevap bekler. Bu işlem aktif bir arama modelidir.
Özetle

• Kablosuz Ağlar kanalları kullanır (1-14)
• AP’ ler SSID Broadcast ile nerede olduklarını her kanalda duyururlar
• STA’ ler araştırma istekleri ile geldiklerini söylerler

Netstumbler / MiniStumbler

Windows altında en eski ve en güzel wardriving araçlarından biridir. Ek olarak isteyenler için MiniStumbler da Pocket PC’ ler de çalışıyor. Aşağıdaki mantıkların hepsi hemen hemen Ministumbler’ a da uygulanabilir.
Netstumbler’ ı civardaki AP’ leri bulmak için kullanacağız. Netstumbler bir aktif tarayıcıdır yani civara probe requestleri gönderir, dolayısıyla tespit edilebilir. Tabii ki civardaki şifresiz kablosuz ağların yüzlerce olduğunu düşünürseniz bu tip bir şeyi birilerinin tespit edebilmesi milli piyangoyu kazanmanız gibi bir şey olur. İkinci olarak bu kanunlara aykırı veya suç içeren bir durum da değildir.
Netstumbler çok basit bir program ve şu an ki sürümü (0.4.0) bir çok kartla sorunsuz şekilde çalışıyor (RF modu istemediğinden ve paket dinleme yapmadığından dolayı donanım deseği çok geniş).
Download etmek için http://www.netstumbler.com/downloads/ adresini kullanabilirsiniz. Program ücretsizdir.
Programı kurduktan sonra açınca zaten varsayılan kartınız ile çalışmaya başlayacak ve hemen civardaki AP’ leri tespit edecektir.




Netstumbler ile örnek bir tarama sonucu

• “Enable Scan” (Ctrl + B) ile taramayı açabilir ve kapatabilirsiniz
• “Device” menüsünden kullanılacak kart arabirimini seçebilirsiniz
• Sol taraftan çeşitli filtreleme özelliklerine ulaşabilirsiniz
• Sonuçları kaydedebilir ve daha sonradan açıp inceleyebilirsiniz
• Sonuç datalarını Export / Import edebilir ve başka yazılımlar ile paylaşabilirsiniz

Kismet

Kismet’ i için Linux’ a ihtiyacınız olabilir. Şu an için verimli bir Windows portu bulunmamakta. Cygwin altında pek verimli olmadan çalıştırabilir ya da Linux işletim sisteminizde kullanabilirsiniz. Ek olarak “Auditor” gibi içerisinde Kismet’ i de içeren Live Linux CD’ lerinden birini kullanabilirsiniz.
Kismet pasif bir tarayıcı bu sayede SSID Broadcast etmeyen AP’ leri de bulabilir. Kendini belli etmeyen bu AP’ leri ilk adımda trafiklerinden tespit eder. Ancak ilk adımda SSID’ yi bulamayabilir daha sonra SSID içeren ilk paketi gördüğünde AP’ nin SSID sini de bulabilir.



Kismet (Gkismet / Arabirim) ile gizli bir AP (SSID broadcast etmeyen)’ nin tespiti
Yukarıdaki resimde de görüldüğü gibi Kismet gizli bir AP’ yi tespit edebiliyor. Bunun yanında bize hangi kanalda çalıştığı, şifreli olup olmadığı gibi ekstra bilgiler de veriyor. Buradaki en güzel özelliklerden bir diğeri ise bağlanan STA’ leri de görebiliyor olmamız.
Yukarıdaki ekran görüntüsü Gkismet’ ten alınmıştır. Kismet için GTK arabirimi.
Ek olarak istediğiniz zaman “Packet Dump” ve “String Dump” seçenekleri ile paketleri izleyebilir ve kaydedebilirsiniz. Kismet ile kaydettiğiniz paketleri daha sonradan “aircrack” gibi bir WEP şifre kırıcısında kullanabilirsiniz. Aircarck hakkında geniş bilgi makalenin ilerleyen kısmında bulunabilir.

Paket Toplama


Saldırının yapılacağı AP’ yi tespit ettiğimize ve şifrelemesini de öğrendiğimize göre artık ikinci adım olan paket toplama kısmına geçebiliriz. Hatırlarsak burada yapmamız gereken elimizden geldiğince çok tekil IV toplayabilmekti.
Airodump

Daha önceden de belirttiğimiz gibi Kismet ile paket toplayabilirsiniz ancak airodump bu işlem için çok daha pratiktir.
Airodump’ ı yükledikten sonra daha önceden bulduğunuz AP’ nin çalıştığı kanalda airodump’ ı çalıştırın.
Airodump Parametreleri;

• 
  Hangi wireless adapter ile kullanacağınız, Yani bilgisayarınızdaki kablosuz ağa arabirimi.
  
• (a/o)
  Wireless adapter’ in chipset i
  o : Hermes /Realtek
  a : Aironet/Atheros
  Eğer diğerse parametre olarak ne verdiğiniz farketmiyor.
  
• (0-14)
  Hangi kanal yada kanalları dinleyeceği 0 verirseniz tüm kanalları dinlemeye alacaktır.
  
• 
  Paketlerin yazılacağı dosyaların başlangıç ismi
  
• | Opsiyonel
  Eğer 1 yaparsanız sadece IV’ leri yazacak. Eğer sadece şifre kırmak istiyorsanız bunu seçebilirsiniz. Tüm paketleri toplayarak daha sonradan şifreyi kırabilir ve bu paketleri de bulduğumuz şifre ile açabilir ve analiz edebiliriz.

Bizim örneğimizde şu şekilde çalıştırıyoruz;

C:\Airodump.exe 14 a 13 FM_APIVleri y

Airodump’ dan bir paket toplama görüntüsü
Windows altında eğer sadece “airodump.exe” olarak çağırırsanız interaktif modda çalışacaktır.
Linux’ ta ise girmeniz gerekli değil aynı zamanda yerinede yani wlan0 gibi ilgili donanımın arabirim adını girmelisiniz. iwconfig komutu ile wireless adapterlerinizi görebilirsiniz.
Paketleri farklı vakitlerde toplayabilirsiniz, kırma işleminde hepsini birlikte kullanabiliyoruz. Yani paket toplama işlemine ara verebilir ve daha sonradan tekrar başlatabilirsiniz.
Aklınıza civardaki modemlerde dahil olmak üzere seçtiğiniz kanaldaki tüm trafiği toplamış olduğunuz gelebilir, bu da sorun değil çünkü kırma işleminde hangisinin bizim AP’ miz olduğunu belirteceğiz.
Airodump IV dosyalarını çalıştığı klasöre kaydedecektir. Network yoğunluğuna göre toplama hızınız değişebilir. Bu hızı yükseltmek için ağda ekstra trafik yapmanız gerekebilir, bunun için “Aireplay” yada benzeri paket üreten yazılımlar kullanabilirsiniz.
Daha önceden de belirttiğimiz gibi eğer paketleri .cap olarak topladıysanız yani sadece IV’ leri değil tüm şifreli datayı da topladıysanız şifreyi kırdıktan sonra “airdecap” yazılımı ile ilgili kırılmış şifre ve şifrelenmiş paketleri açabilir daha sonradan da Ethereal, IRIS gibi bir sniffer’ da bu paketleri açabilir ve inceleyebilirsiniz.
Bu sayede sizin paket topladığınız sırada gerçekleşen tüm trafiği analiz edebilirsiniz.


Şifreyi Kırma

Artık gerekli paketleri topladığımıza göre WEP şifresini kırmaya başlayabiliriz.


Aircrack

Aircrack paket toplama için kullandığımız “airodump” ın geliştiricisinden, çok kısa bir sürede ve az paketle sonuca ulaşabiliyor.
Tek yapmamız gereken topladığımız paketleri ona vermemiz.
Ciddi sorunlardan biri kaç bit şifreleme kırmamız gerektiğini bilmiyor olmamız. Çünkü WEP şifresinin 64bit mi 128bit mi olduğunu elimizdeki şifrelenmiş paketler ile tespti edemiyoruz. Bu yüzden eğer bilgimiz yoksa en iyisi önce 64 ile deneyip daha sonra 128bit olarak kırmayı denemek olacaktır.
Örnek kullanımı şu şekilde olabilir;

C:\airrack.exe –a 1 –n 128 *.ivs

-a Parametresi kırılacak şifrenin WEP şifresi olduğunu belirtiyor,
-n parametresi ise kaç bitlik bir şifreleme olduğunu.
En sondaki *.ivs parametresi ise o klasördeki tüm “.ivs” uzantılı dosyaların kırılacağını belirtiyor. Önemli olan bir önceki paket toplama işleminde üretilen dosya veya dosyaları vermeniz.
Aynı şekilde eğer sırf IV’ leri değil tüm paketleri yazdıysanız *.cap dosyalarınızı da verebilirsiniz.
Kısa bir süre sonra şifre kırılmış olacaktır.
Karşınıza birden fazla cihazdan toplanan paketler gelebilir bu durumda ilgili AP’ yi seçmeniz gereklidir. Zaten ilgili AP’ nin MAC adresini daha önceki Kismet / Netstumbler bilgimizden dolayı biliyoruz. Aşağıdaki resimde bu durumun bir örneğini görebilirsiniz.



Birden fazla cihazdan IV toplanması sonucunda çıkan sorgu ekranı
Eğer tek bir sonuç çıkarsa aircrack otomatik olarak kırma ekranına geçecektir.



128bit WEP şifresi kırılma işlemi tamamlandı
Program farklı atak yöntemleri ve dictionary (belli bir sözlüğe dayalı deneme-yanılma) atak gibi opsiyonel bir dizi seçeneğe de sahip.


Ek Saldırılar

WEP şifresinin kırılması ve sisteme girilmesi harici bazı ek saldırılar da sistemlere yapılabilir.


MAC Filtrelelerini Aşmak

Daha önceden de belirttiğimiz gibi kablosuz ağların güvenliği için MAC adresi filtreleme yapılabilir. Bu sayede sadece izinli MAC adresleri kablosuz ağa bağlanabilecektir.
Ancak bir saldırgan olarak daha önceden izinli bir MAC adresinin ne kadar kolay ele geçirilebileceğini gördük, şimdi de ne kadar kolay MAC adresi değiştirebileceğimizi görelim.
Unutmayın ki MAC adresleri tekildir, dolayısıyla MAC adresinizin bir yerde loglanması size ait cihazın (STA - Laptop, PDA vs.) orada olduğuna dair güzel bir kanıttır. Dolayısıyla sadece filtrelemeleri aşmak için değil genel olarak da MAC adresi değiştirmek güzel bir pratiktir.
Bu çok basit bir işlemdir;

• Windows altında
  En basit şekilde “Network Connections” tan ilgili adapter’ e girip, “Properties” > “Configure” > “Advanced” Tabına girebilir ve “Network Address” değerini istediğiniz şekilde belirtebilirsiniz.
• 
  
  
• MAC Adresi değiştirme ekranı
  
  Bu işlem tüm adapter’ larda yapılamayabilir ancak registry aracılığı ile bunu hepsinde yapabilirsiniz.
  
  “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}” registry adresinde tüm adapter’ ler vardır, buradan ilgili olanı seçebilir ve “Network Address” kısmını istediğiniz şekilde değiştirebilirsiniz.
  
  Daha detaylı bilgi ve adım – adım için. “Changing MAC Adress in Windows” sayfasına göz atmanızı tavsiye ederim.
  
  Ek olarak Windows için şu küçük programcıkla bu işi çok daha basit hale getirebilirsiniz;
  
  • MacShift - http://students.washington.edu/natetrue/macshift/

• Linux’ ta şu şekilde değiştirebilirsiniz;
  

  /etc/init.d/networking stop
  ifconfig eth0 hw ether 00:01:02:03:04:08
  /etc/init.d/networking start
  

  Ek olarak GNU MAC Changer bu işte size yardımcı olabilir.

Genel olarak MAC adresleri ve değiştirme hakkında daha fazla bilgi için Wikipedia – MAC Address’ e bakılabilir.

DOS / MITM vb. Ataklar

Kablosuz ağlar bu temel sorun hariç, DOS (Denial Of Service – bir servisin kullanılmaz hale getirilmesi), MITM (Man in the Middle – iki iletişim arasına girip data çalma, modifiye etme gibi saldırılar) gibi ataklara da açık. Bunların bir kısmının nedenini açıklamıştık.
Kablosuz ağlardaki en basit DOS saldırılarından biri AP’ ye Deauthentication Management mesajları göndererek kablosuz cihazların sürekli kopmasını sağlamaktır.
MITM ataklar ise aktif bağlantıların çalınması ve paketlerin dinamik olarak enjekte edilmesi aracılığı ile yapılmakta. Bu tip saldırılara örnek için airinject ve airjack yazılımlarını inceleyebilirsiniz.
Ek olarak Airopeek ve CommView for WiFi yazılımları Windows için özel paket üretme / modifiye etme ve analiz uygulamalarına sahipler.

Ekstra Ekipmanlar

Kablosuz ağların analizi ve tespiti sırasında bazı ekstra donanımlar size yardımcı olabilir;
Pocket PC


Herhangi bir Windows Mobile 2000/2003 yüklü ve Wi-Fi desteği olan bir Pocket PC işinizi görecektir. Bu sayede iç cebinizde bunu taşıyabilir ve MiniStumbler veya CommView for WiFi PPC kullanarak oradaki kablosuz ağ hakkında daha fazla bilgi toplayabilir veya paket toplayabilirsiniz.

ComWiFi PPC yazılımından bir ekran görüntüsü

GPS

GPS cihazı sayesinde uydu aracılığı ile dünya üzerinde bulunduğunuz konumu alabilirsiniz. Bu bilgi ile bulduğunuz ağları haritada işaretleme şansına sahip olursunuz.
Haritalama, konumlandırma konusunda size yardımcı olabilecek yazılımların başında Stumbverter ve Musatcha var. Ek olarak Wigle’ da harita bulmanız ve harita paylaşımı konusunda size çok yardımcı olacaktır.

bir haritalama örneği

Anten

Wardriving sırasında en çok ihtiyaç duyacağınız şeylerden biri çekim alanınızın olabildiğince geniş olmasıdır. Kartınızın çekim gücünü artırabilmek için ekstra anten takmak çok faydalı olabilir.
Her wireless kartın ekstra anten desteği yoktur, bazılarını modifiye ederek takabiliyor olsanız da kendiliğinden bu desteği olan bir kart edinmek çok daha verimli olacaktır.
Omni-Directional Antenler

Bu antenler tek yönlü değil aynı anda her yönde alanı genişletirler, boyut açısından da aynı bir arabanın radyo anteni gibidirler. Genelde wardriving için bu anten kullanılır.

D-Link’ in bir omni-directional anteni

Eğer ki bu tip işler ile aranız iyiyse, biraz vaktiniz varsa ve eğlenmek istiyorsanız çok ucuz fiyatlara çok başarılı antenler yapabilirsiniz. “Quarter wave omni-directional antenna” bunlardan bir tanesi, bir diğer popüleri ise “Building a 2.4GHz Vertical Collinear Omnidirectional Antenna” makalesindeki antendir.

Ev yapımı bir minik omni-directional anten

Ek olarak antenlerin çoğunu sabityleyebilirsiniz;

Mount’ a sahip sabitlenmiş bir omni-directional anten (araç için uygun)

Directional Antenler

Eğer ki hedef bölge tam olarak tespit edildiyse tek yönlü sinyal güçlendirme için directional antenler çok işe yarayacaktır. Ancak genel wardriving seansları için çok verimli olmayabilir çünkü çevirildikleri bölgeyi görürler, diğer bölgelerden olan sinyaller zayıf olacaktır.

Parabolic, Yagi gibi tipleri vardır, mantık aynıdır ancak yapıları değişebilir. Yagi fiyat-performans olarak WiFi için genelde en uygun çözümü unan tipteki antendir.

Directional Anten

Popüler evde yapabileceğiniz ucuz bir diğer directional anten modeli içinse “802.11b Homebrew WiFi Antenna Shootout” makalesine göz atabilirsiniz. Aşağıda bu antenin bir resmi bulunmaktadır.

Pringles’ tan yapılmış ev yapımı directional anten

Ekstra donanım bilgisi için bakılabilecek kaynaklardan bir diğeri de “Cisco Aironet Antenna Reference Guide”

Defans

Makalemizin buraya kadar ki kısmı saldırı, kablosuz ağlardaki güvenlik açıkları ve bunları kullanma yöntemleri ile ilgiliydi. Bu bölüm ise en pratik şekilde alabileceğiniz güvenlik önlemlerini ele alacak.
Aşağıdaki önlemlerden “MAC Filtreleme”, “SSID Ayarları” gibi bazı kısımlar sadece basit şekilde güvenliği arttırma ve gizleme ile ilgilidir. Gerçek bir koruma değildir ancak daha fazla saldırgan çekmemek, basit saldırganları egale edebilmek, saldırganın daha çok vakit harcamasına sebep olmak gibi güvenliği arttıran faktörlerdir.
Bir çok konunun uygulanması için detaylı bilgi verilmemiştir çünkü kullanılan donanıma bağlı olarak uygulama yolları değişkenlik gösterebilir. Cihazın yardım dosyalarına bakarak ya da sadece kontrol panelinde gezinerek bir çok işlemi başarıyla yapabilirsiniz.


Şifreleme Metodu

Uzun bir süre WEP’ in ne kadar güvensiz olduğundan bahsettik dolayısıyla güvenli bir kablosuz ağ için WEP değil de öncelikle RSN kullanmanızı, eğer donanımınızın RSN desteği yoksa da WPA PSK(Pre Shared Key) kullanımı şiddetle tavsiye edilir.
Eğer mecburen WEP kullanacaksanız da 128 bit şifreleme kullanmalısınız.
RSN, WPA gibi çözümlerdeki şifreleri (key) olabildiğince iyi seçmek te çok önemlidir.


SSID Ayarları

SSID Broadcasting’ i kapatın. Bu sayede Netstumbler’ ın veya sadece alandaki bir WinXP’ nin otomatik olarak AP’ mizi bulmasını engellemiş olacağız.
İkinci bir önlem olarak SSID’ nizi değiştirin ve bu yeni değer saldırgana bir bilgi vermesin. Örnek olarak “Deneme Firmasi - Bilgi İslem” yerine rasgele yada “Yesil AP” vs. gibi isimler vermeniz faydalı olacaktır.


Konumlandırma

AP’ nizi konumlandırırken cam kenarlarını seçmeyiniz eğer mümkünse daha içerilerde bir yerlere yerleştirin.


Frekans İzolasyonu

Bahsettiğimiz gibi kablosuz ağ güvenliğinin temel sebebi kablosuz olması, yani radyo dalgalarının firma / ofis / ev dışına çıkabilmesi. Dolayısıyla eğer mümkünse bu frekansları yetkisiz kişilerin ulaşabileceği yerlere ulaştırmamalıyız.
Bu noktadaki ilginç çözümlerden biri de “DefendAir Radio Shield Additive”. Bu boyanın içerisine katılan bir ürün ve radyo dalgalarının %90 gibi bir oranını duvardan geçerken boyanın emmesini sağlıyor.

DefendAir Radio Shield Additive ürünü

Force Field Wireless firmasının pencere filmleri gibi benzer başka fiziksel kablosuz ağ güvenliği ürünleri de var.


MAC Filtreleme

AP’ nizin ayarlarından sadece istediğiniz kullanıcıların MAC adreslerine izin vermeniz de alabileceğiniz ekstra güvenlik önlemlerinden.


Güncelleme

AP’ nizin firmware’ ını güncellemeyi unutmayın, bazı AP’ lerde ciddi açıklar tespit edildi ve edilmekte. Aynı yazılımlar gibi donanımınızı güncel tutmanız da faydalı olacaktır.

IDS & Diğer Destek Çözümler

AirSnare gibi kablosuz ağlar için geliştirilmiş IDS sistemi kullanırsanız ağınızdaki kaçakları daha hızlı tespit edebilir ve izleyebilirsiniz.

AirSnare’ dan bir ekan görüntüsü

Ek olarak AirDefense’ de bir dizi kablosuz ağ güvenlik çözümü sunmakta.

Türkiye’ den İstatistikler

Kişisel olarak yaptığım wardriving seanslarından çıkardığım bazı istatistikler;

Türkiyeden bir istatistik

Burada şifresiz olarak görünen %65’ lik kısım hatırı sayılır bir istatistik ve bir çok amaç için kullanılabilir. İstanbul’ da bilişim sektörünün ve firmaların yoğun olduğu bir bölgede 10 dk. İçerisinde 50’ den fazla şifresiz kablosuz ağ bulabilirsiniz.
Ciddi bir wardriving seansında ise çok daha fazlasına rahatça ulaşabilirsiniz.
Ek – 1 Simetrik – Asimetrik Şifreleme

Simetrik Şifreleme

Simetrik şifreleme klasik şifreleme yöntemidir. Yani bir metin “fb1907” anahtarı ile şifrelenmiş ise gene aynı sözcükle yani “fb1907” ile açılabilir.

Asimetrik Şifreleme

Asimetrik şifreleme de iki tip anahtar vardır.
Farz edin ki elinizde iki adet anahtar ve bir sandık var. İstediğiniz, bu sandık içerisinde bir arkadaşınızdan özel bir fotoğraf gelmesi. Ancak tabii ki bu fotoğrafların sadece sizin tarafınızdan görülmesini istiyorsunuz.
İki anahtarımız var demiştik, işte bunlardan biri Özel Anahtarımız (Private Key), Diğeri ise Genel Anahtarımız (Public Key). Boş sandık ile birlikte genel anahtarınızı da arkadaşınıza gönderiyorsunuz, bu sayede gönderdiğiniz arkadaşınız bu genel anahtar ile sandığı kilitleyebilecek.
Arkadaşınız sandığa gerekli resimleri yerleştiriyor ve gönderdiğiniz anahtar ile kilitliyor. Aklımıza hemen şu soru gelebilir "Peki anahtar yolda başkasının eline geçerse ?", Bir şey olmaz. Çünkü Genel Anahtarımız sadece kilitleyebiliyor, kilitleri açamıyor!
İşte bu da asimetrik şifrelemenin can alıcı noktası, elinizde iki anahtar var biri sadece kilitleyebiliyor (yani Genel Anahtar), diğeri ise açabiliyor.
Dolayısıyla gönderdiğiniz kişide sizin anahtarınız olmamasına rağmen sizin sandığınızı sadece size özel olarak kilitleyebiliyor ama kilitlediği sandığı ve sizin diğer sandıklarınızı açamıyor. Çünkü bunu yapabilmesi için sizin özel anahtarınıza sahip olması gerekli.
Bu kısım PGP’ ye Pratik Giriş makalesinde de Asimetrik Şifreleme açıklamasında benzer şekilde geçmektedir.
Ek 2 – XOR’ u Anlamak


Makalede geçen WEP onay sürecinde RC4’ in ilk byteları alınırken ki mantığın kod ile en basit onayı.
Derlenip çalıştırıldığında sonucun “True” olarak döneceği görülecektir. (dil:VB.NET)
Dim HiddenKey, MyKey, Chipher, Plain As Integer
Plain = 77
HiddenKey = 13

Chipher = HiddenKey Xor Plain
MyKey = Plain Xor Chipher

Console.WriteLine(HiddenKey = MyKey)