Hem bilgisayar korsanları hem de güvenlik uzmanları, bilgisayar sistemleri ve ağları hakkında bilgi toplamak için çeşitli teknikler kullanır.
Böyle bir teknik, bir sistemin yazılımı ve açık bağlantı noktalarında çalışan hizmetler hakkındaki ayrıntıları keşfetmek için kullanılan “banner kapma”dır.
Bu makale, banner ele geçirmenin inceliklerini, siber güvenlikteki önemini, saldırı türlerini, kullanılan araçları ve bu tür faaliyetlere karşı korunmaya yönelik karşı önlemleri ele almaktadır.
Banner Yakalamayı Anlamak
Banner kapma, ana sunucu tarafından görüntülenen “banner”ı alarak bir ağa bağlı bir bilgisayar sistemi hakkında bilgi toplamaya yönelik bir tekniktir.
Banner, bir sistem veya sunucuda çalışan yazılım sürümü ve türü hakkında bilgi sağlayan bir metin mesajıdır. Bu bilgiler, bilgisayar korsanlarına, yararlanabilecekleri potansiyel güvenlik açıkları hakkında fikir vermesi nedeniyle çok önemli olabilir.
Banner Yakalama Nasıl Çalışır?
Banner kapma süreci üç ana adımdan oluşur:
1. Hedef Seçimi: Saldırgan hedeflemek istediği hizmeti tanımlar.
2. Gönderim İsteği: Hedef sisteme veya programa bir istek gönderilir.
3. Yanıt Analizi: Saldırgan, hangi istismarın kullanılabileceğini belirlemek için yazılımdan veya cihazdan gelen yanıtı analiz eder.
Bilgisayar korsanları, yazılım başlıklarından adlar ve sürümler gibi bilgiler elde ederek, bu sürümlerle ilişkili bilinen güvenlik açıklarını hızlı bir şekilde tanımlayabilir ve bunlardan yararlanabilir.
Banner Yakalamak Neden Önemlidir?
Banner kapma, hem saldırı hem de savunma amaçlı siber güvenlik stratejilerinde birçok amaca hizmet eder:
Güvenlik Açığı Tespiti: Saldırganlar, yazılım sürümlerini açığa çıkararak, bilinen açıklardan yararlanmaya açık zayıf uygulamaları tespit edebilir.
Ağ Haritalama: Ağ Eşleme, açık bağlantı noktalarındaki ağ ana bilgisayarlarını, hizmetleri ve işletim sistemlerini tanımlamaya yardımcı olur.
Sızma Testi: Güvenlik ekipleri için banner yakalama, ağdaki güvenlik açıklarını değerlendirmeye yönelik sızma testlerinde önemli bir adımdır.
Örnek Senaryo
Bir saldırganın Microsoft Windows 7 çalıştıran bir ana bilgisayarda EternalBlue (CVE-2017-0143) gibi bir güvenlik açığından yararlanmak istediği bir senaryoyu düşünün.
Saldırgan, banner yakalama işlemini gerçekleştirerek, hedef sistemdeki SMB hizmetinin güvenlik açığı bulunan bir sürümü çalıştırıp çalıştırmadığını belirleyebilir. Onaylanırsa, onu kullanmaya devam edebilirler.
Banner Kapma Saldırılarının Türleri
Banner kapma saldırıları iki ana türe ayrılabilir:
Aktif Banner Yakalama
Aktif banner yakalamada, saldırgan uzaktaki bir ana bilgisayara paketler gönderir ve yanıt bekler. Bu yöntem, saldırganın makinesi ile hedef sistem arasında TCP gibi protokoller kullanılarak bağlantı kurulmasını gerektirir.
Ancak bu yaklaşım, hedefle doğrudan etkileşimi içerdiğinden saldırı tespit sistemleri (IDS) tarafından tespit edilebilmektedir.
Pasif Banner Yakalama
Pasif banner yakalama, hedef sistemle doğrudan etkileşime girmeden bilgi elde etmeyi içerir. Bu yöntem, dolaylı olarak veri toplamak için trafik algılayıcıları veya arama motorları gibi üçüncü taraf araçları veya hizmetleri kullanır.
Hedefle doğrudan bağlantı olmadığından güvenlik sistemlerinin pasif yöntemleri tespit etme olasılığı daha düşüktür.
Banner Kapma Özellikleri
Banner kapma, onu etkili bir keşif aracı haline getiren çeşitli özelliklerle karakterize edilir:
Veri Toplama: Genellikle sistem bilgilerini içeren banner’lardan veri toplar.
Manuel veya Otomatik Yürütme: Banner’lar manuel olarak veya web tarayıcıları gibi otomatik araçlar kullanılarak yakalanabilir.
Özelleştirilebilir Bilgiler: Banner’lar, sistem ayrıntılarıyla birlikte hoş geldiniz mesajları sağlayan, özelleştirilebilir metin tabanlı ekranlardır.
Bilgisayar korsanları ve güvenlik uzmanları, banner kapmak için çeşitli araç ve teknikler kullanır. Bazı popüler araçlar şunları içerir:
Telnet
Telnet, uzak hizmetlerle etkileşimde bulunmak için kullanılan geleneksel bir platformlar arası istemcidir. Ekleyiciler, TCP bağlantı noktası 23 (Telnet), SMTP, HTTP veya POP3 gibi standart bağlantı noktalarına bağlanarak değerli bilgiler içeren hizmet başlıklarını alabilir.
WhatWeb
WhatWeb, IP adresleri, yazılım sürümleri, web sayfası başlıkları ve aktif işletim sistemleri gibi sunucu bilgilerini açığa çıkararak web sitelerini tanımlar. Bu araç, web uygulaması banner’larının etkili bir şekilde yakalanmasına yardımcı olur.
N haritası
Nmap, banner yakalama yeteneklerine sahip, yaygın olarak kullanılan bir ağ tarama aracıdır. Açık TCP bağlantı noktalarına bağlanır ve dinleme servisleri tarafından gönderilen ayrıntıları saniyeler içinde alır.
Dimitri
Deepmagic Bilgi Toplama Aracı (Dmitry), saldırganların açık bağlantı noktaları, alt alan adı eşlemesi, DNS numaralandırması ve daha fazlası dahil olmak üzere kapsamlı ana bilgisayar bilgileri toplamasına olanak tanır.
Dmitry Kullanan Örnek Komut
Kali Linux’ta Dmitry’ı kullanarak pankartları yakalamak için aşağıdaki komutu kullanabilirsiniz:
dmitry -p -b [IPv4 Address of any host]
Bu komut, belirtilen ana bilgisayarı tarayacak ve banner bilgilerini alacaktır.
Wget
Wget, banner kapmak için başka bir araçtır. İstekleri uzak sunuculara yönlendirir ve HTTP sunucusu başlıklarını yazdırır.
Banner Kapmalara Karşı Önlemler
Kuruluşlar, banner kapma saldırılarına karşı korunmak için çeşitli karşı önlemler uygulayabilir:
1. Banner’ları Devre Dışı Bırakın: Sunucuların hassas bilgileri görüntülemesini önlemek için sunuculardaki gereksiz banner’ları devre dışı bırakın.
2. Yama Yönetimi: Bilinen güvenlik açıklarını gidermek için yazılımı ve işletim sistemlerini düzenli olarak güncelleyin.
3. Güvenlik Duvarlarını ve Kimlikleri Kullanın: Yetkisiz erişim girişimlerini izlemek ve engellemek için güvenlik duvarları ve izinsiz giriş tespit sistemleri kurun.
4. Hizmet Yapılandırması: Kritik bilgilerin banner’lar yoluyla açığa çıkmasını en aza indirmek için hizmetleri güvenli bir şekilde yapılandırın.
5. Ağ Segmentasyonu: Segment ağları hassas sistemlere erişimi sınırlandırır ve saldırı yüzeylerini azaltır.
Banner kapma, saldırgan saldırılar ve sızma testi gibi savunma önlemleri için kullanılan temel bir siber güvenlik tekniğidir.
Kuruluşlar, bu tekniğin nasıl çalıştığını anlayarak ve uygun karşı önlemleri uygulayarak ağlarını potansiyel tehditlere karşı daha iyi koruyabilirler.
İster sızma testinde yeni olun ister deneyimli bir güvenlik uzmanı olun, banner yakalama araç ve tekniklerinde uzmanlaşmak, etkili siber güvenlik uygulamaları için çok önemlidir.
Banner kapma, ağdaki güvenlik açıklarına ilişkin değerli bilgiler sağlarken, hassas bilgileri kötü niyetli aktörlerden korumak için güçlü güvenlik önlemlerinin öneminin altını çizer.