Farklı Bir Kaba Kuvvet Saldırı Aracı: Crowbar (Levye)
Ertuğrul Başaranoğlu, Gökhan Alkan, TÜBİTAK BİLGEM   
10.11.2014

Günümüzde bilgi sistemlerinin ve internetin yaygınlaşmasıyla bilginin önemi de artmıştır. Bu sebeple, bilgiye yönelik saldırılar artış göstermiş, bu durum da bilgi güvenliğine verilen önemi arttırmıştır. Bir bilgi sistemini korumak için 2 önemli tedbirin alınması bir çok saldırıya karşı koruma sağlamaktadır. İlk tedbir güncelleştirmelerin sağlanması,  ikincisi ise kimlik doğrulama mekanizmasının etkin olarak işletilmesidir.

Neden Crowbar ve Diğer Araçlardan Farkları 

Bu yazıda kimlik doğrulamasına karşı saldırı gerçekleştirebilen Crowbar (Levye)  isimli bir araç tanıtılacaktır. Crowbar RDP, SSH, VNC, VPN adlı servislere karşı kimlik doğrulama mekanizmasını kaba kuvvet saldırıları ile atlatmak için kullanılan bir araçtır. Piyasada belirtilen servislere kaba kuvvet saldırılarını gerçekleştirebilen bir çok araç bulunabilir. Ancak, Crowbar aracının diğer araçlardan önemli bir farkı bulunmaktadır. Diğer araçlar kullanıcı adı ve parola ile kaba kuvvet saldırısı gerçekleştirirken, Crowbar ise kimlik doğrulama anahtarlarını kullanarak da kaba kuvvet saldırılarını gerçekleştirebilmektedir. Şöyle ki, bir çok araç SSH servisine kullanıcı adı ve parola ile saldırılar düzenleyebilmektedir. Ancak bazı sistem yöneticileri kullanıcı hesap parolalarını çok karmaşık verebilmektedir. Bu parolaları SSH istemci uygulamalarına (putty gibi) kaydetmemekte ve karmaşıklığı sebebiyle de her defasında bu parolayı girmek istememektedirler. Bu sebeple, SSH anahtarı ile hedef sisteme giriş sağlamayı seçebilmektedirler. Bu gibi bir durumda klasik kaba kuvvet saldırı araçları yetersiz kalabilmekte, SSH anahtarı ile kaba kuvet saldırısı yapabilen bir araca ihtiyaç duyulabilmektedir. Bu ihtiyacı da Crowbar gidermektedir.
Bu yazıda bilgi güvenliği, kimlik doğrulama ve kaba kuvvet saldırıları ile ilgili temel bilgiler verilecek, sonrasında ise Crowbar aracının kullanım alanlarına incelenecektir.

1) Bilgi güvenliği ve Kimlik doğrulama

Bilgi, diğer bütün kurum varlıkları gibi organizasyon için değeri olan ve dikkatle korunması gereken bir varlıktır. Organizasyon tarafından korunması gereken bazı varlıklar şunlar olabilir:  

  • Kurumsal bilgiler

  • Müşteri/Tedarikçilere ait bilgiler

  • İnternet üzerinden yayınlanan bilgiler

  • Kurum kullanıcılarına açık bilgi ve servisler

  • Halka açık bilgiler

Bilgi güvenliğinin temelinde Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişebilirlik (Availability) yatmaktadır. Bu üçlüye kısaca CIA adı verilmektedir. Bu üçlünün yanında temel bilgi güvenliği unsurları şu şekildedir:

 

01.jpg

 

CIA gibi en önemli bilgi güvenliği unsurlarından birisi de kimlik doğrulamadır. Kimlik doğrulama (Authentication), kullanıcının sisteme bağlanabilmesi için ilk başta yapılması gereken işlemdir. Sistem kullanımı sırasında cihaz veya kullanıcının kimliğinin doğrulanmasıdır. Bu işlem ile kullanıcının sahip olduğu kimlik bilgisinin sistemde kayıtlı olup olmadığı kontrol edilir. Daha sonra kullanıcıya verilen parola (veya parola gibi kullanılabilecek başka bir veri) da kontrol edilerek doğrulama işlemi yapılır. Doğrulama sağlanırsa kullanıcıya sisteme giriş izni verilir. Bilgisayar ağları ve bilgisayar sistemleri dışında fiziksel sistemler için de çok önemlidir ve bu yüzden çok aşamalı kimlik doğrulama yöntemleri kullanılmaktadır.

2) Çok Aşamalı Kimlik Doğrulama ve Kaba Kuvvet Saldırıları

Kimlik doğrulama mekanizmasını daha etkin hale getirebilmek için çok aşamalı kimlik doğrulama mekanizmasının kullanılması tavsiye edilmektedir. Çok aşamalı kimlik doğrulamanın 3 temel ayağı bulunur.

  • Something you know (Bilinenler): Kullanıcı ile erişmek istediği sistem arasında paylaşılan gizli veriler bu guruba girer. Buna en iyi örnek kullanıcıya ait şifre bilgisidir.

  • Something you have (Sahip olunanlar): Kullanıcılara ait jetonlar (token) da bir çeşit kimlik beliryecisidirler. Bu kimlik belirleyicilerin sahibi olan bir kullanıcı sisteme kimliğini doğrulatabilir. Örnek olarak akıllı kartlar verilebilir.  Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı genellikle ek olarak something you know (bilinenler)  bilgisini  (PIN) de ispat etmek zorundadır.

  • Something you are (Olunan):  Bazı sistemler kullanıcıya ait biyolojik özellikleri kimlik doğrulayıcı olarak kullanırlar. Örnek olarak retina taraması, parmak izi, kan örneği ve ses tanımlama verilebilir.  

Bu sistemler yaygın olarak kullanılmakla birlikte bazı riskleri de mevcuttur. Örneğin parmak izi okutularak yapılan doğrulamalarda kesin sonuç almak çok zordur, veya ses tanımlama yöntemiyle kimlik doğrulayan sistemler kullanıcının sesi kaydedilerek kolayca atlatılabilir. Buna benzer bir çok sebepten dolayı biometrik kimlik doğrulama yöntemleri kesin sonuç vermeyen ve tam olarak güvenilir olmayan sistemlerdir.

Günümüzde bir çok sistemde, özellikle iç ağda kullanılan sistemlerde, çok aşamalı kimlik doğrulama yerine tek aşamalı kimlik doğrulama kullanılmaktadır. Örneğin bir Windows bilgisayara uzaktan bağlantı kurabilmek için kullanıcı adı ve parola kullanılmaktadır. Benzer olarak bir SSH sunucuya bağlantı için kullanıcı adı ve parola kullanılabildiği gibi sadece bir sertifika da kullanılabilmektedir. Kullanıcı kimlik bilgilerini veya sertifikayı elde eden saldırgan, ek bir önlem alınmamışsa hedef sisteme erişim sağlayabilmektedir. Bu yöntem kaba kuvvet saldırıları için de kullanılabilir. Kaba kuvvet saldırılarıyla, hedef sisteme bir veya birden çok bilgi ile saldırılarak hedef sistemdeki kimlik doğrulama mekanizması atlatılmaya çalışılır.

3) Crowbar Aracı ve Kullanımı

Crowbar aracı diğer araçlardan daha farklı yöntemler kullandığından bahsetmiştik. Bu araç, yazının başında bahsettiğimiz SSH anahtarı örneği haricinde VNC anahtarı, OpenVPN konfigürasyon dosyası kullanarak da kaba kuvvet saldırısı gerçekleştirebilmektedir. Ayrıca NLA (Network Level Authentication) desteği olan uzak masa üstü bağlantısı gerçekleştirilen sistemlere de kaba kuvvet saldırısı gerçekleştirebilmesi bu aracın önemini daha da arttırmaktadır. Bir çok araç, NLA desteği olan Windows işletim sistemi uzak masaüstü bağlantısına kaba kuvvet saldırısı gerçekleştirememektedir. Bu araç bu yönleri ile diğer araçlardan kendini ayırabilmektedir. Ayrıca kaba kuvvet saldırılarını oldukça hızlı bir şekilde gerçekleştirebilmesi de aracın bir diğer önemli özelliğidir.

Crowbar ile RDP kaba kuvvet saldırılarının gerçekleştirilmesi için örnek bir komut aşağıdaki gibidir:

./crowbar.py -b rdp -s 192.168.2.0/24 -U /root/Desktop/userlist -C /root/Desktop/passlist -d  

02.jpg

 
Bu komut ile, 192.168.2.0/24 ağında root kullanıcısının masaüstündeki userlist adlı bir kullanıcı adı dosyası ve passlist adlı bir parola listesi kullanılarak RDP kaba kuvvet saldırısı denemesi gerçekleştirebilmektedir. Ayrıca "-d" parametresi ile öncelikle ilgili ağda RDP servisi açık olan bilgisayarlar keşfedilmekte, sonrasında ise bu servisi açık olan bilgisayarlarda kaba kuvvet saldırısını gerçekleştirmektedirler.
 
SSH kaba kuvvet saldırısına yönelik bir kullanım örneği de aşağıdaki gibidir:

 

./crowbar.py -b sshkey -s 192.168.2.0/24 -u root -k /root/.ssh/ -d

 

 03.jpg

Bu örnekte ise, sadece root adlı kullanıcı adı ile SSH kaba kuvvet saldırısı denemesi gerçekleştirilmektedir. SSH anahtarı olarak da bir dizinin (/root/.ssh/) tamamı altındaki dosyalar verilmiştir.

VNC kaba kuvvet saldırısına yönelik bir kullanım örneği de aşağıdaki gibidir:

./crowbar.py -b vnckey -s 192.168.2.105/32 -p 5902 -c /root/.vnc/passwd  

04.jpg

Bu örnekte ise tek bir IP için (192.168.2.105) VNC kaba kuvvet saldırısı gerçekleştirilmiştir. "-p" seçeneği ile varsayılan VNC servisine ait port yerine başka bir port verilmiştir.

OpenVPN kaba kuvvet saldırısına yönelik bir kullanım örneği de aşağıdaki gibidir:

./crowbar.py -b openvpn -s 198.7.62.204/32 -p 443 -m /root/Desktop/vpnbook.ovpn -k /root/Desktop/vpnbook_ca.crt -u vpnbook -c cr2hudaF

 05.jpg

Bu örnekte ise, OpenVPN konfigürasyon dosyası ve erişim sertifikası kullanılarak kimlik bilgileri ile OpenVPN kaba kuvvet saldırısı gerçekleştirilmiştir.

Crowbar aracının ayrıntılı kullanımı için aracın yazarına ait olan blogdaki ilgili yazı  incelenebilir.

4) Sonuç

Sızma testlerinde klasik kaba kuvvet saldırı araçlarının gerçekleştirmediği bir açığı kapatan Crowbar aracı kaba kuvvet kuvvet saldırılarına farklı bir boyut kazandırmıştır. Bu araç ile diğer araçların gerçekleştirmediği yöntemlerle kaba kuvvet işlemleri gerçekleştirmekte ve sızma testleri için önemli bir araç olarak kullanılabilecektir.


Favori olarak ekle (4) | Görüntüleme sayısı: 10547

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.