Open in app

Sign in

Write

Sign in

Siber Güvenlik ve Bilgi Güvenliği-3: Siber Güvenliği Tehdit Eden Saldırı Vektörleri

Oner Akdeniz
Fiba Tech Lab
Published in
13 min readFeb 8, 2024

“Siber Güvenlik ve Bilgi Güvenliği” konularının detaylandırılacağı yazı dizisinin üçüncü bölümüdür. (Önceki bölümler için bknz. Siber Güvenlik ve Bilgi Güvenliği-1, Siber Güvenlik ve Bilgi Güvenliği-2 )

Kurumlarda siber güvenliği tehdit eden saldırılar temelde ağ ve uygulamaları hedef almaktadır. Bu saldırı vektörlerini incelemeden önce kurumsal ağ kavramını detaylandırmak faydalı olacaktır. Bir ağ (network) bilgisayarlar, sunucular, yönlendiriciler, anahtarlar ve diğer donanım bileşenlerinin bir araya getirildiği, iletişim ve veri paylaşımını sağlamak için birbirine bağlı olan cihazlardan oluşur. Bu cihazların fiziksel ve mantıksal yerleşimleri topolojiler ile gösterilir.

Şekil 1 Ağ Topolojisi Örneği

Ağlar, cihazların birbirleriyle verileri, dosyaları, belgeleri, yazıcıları ve internet erişimini paylaşmasına izin verir. Ağlar yerel ağlar (LAN), geniş alan ağları (WAN) ve internet gibi farklı tiplere ayrılabilir. Kablolu veya kablosuz olabilirler. Bir ağın amacı iletişimi ve kaynak paylaşımını kolaylaştırmaktır. Bu nedenle, ağlar, günümüzde birbirine bağlı dünyada önemli bir rol oynamaktadır.

Kurumlarda siber güvenliği tehdit eden saldırıların detayları şöyledir:

1 Ortadaki Adam Saldırıları (Man in the Middle)

Ortadaki adam saldırısı (Man-in-the-Middle attack), bir iletişim kanalı üzerinde yer alan bir saldırganın, iki taraf arasındaki iletişimi dinleyerek, değiştirerek veya manipüle ederek verilere erişmesini veya iletişimi engellemesini sağlayan bir saldırı yöntemidir. Bu saldırı genellikle çevrimiçi ortamlarda gerçekleştirilir ve saldırganın hedeflediği verileri ele geçirmesine veya manipüle etmesine olanak tanır (Başeskioğlu, 2021).

Ortadaki adam saldırısının temel özellikleri şunlardır:

Dinleme: Saldırgan, iki taraf arasındaki iletişimi dinler ve verileri izler. Bu sayede, kullanıcıların kişisel bilgilerini, şifrelerini veya diğer hassas verilerini ele geçirebilir.

Manipülasyon: Saldırgan, iletişimi manipüle ederek gönderilen verileri değiştirebilir.

Yönlendirme: Saldırgan, iletişimi yönlendirerek mesajları başka birine iletebilir veya hedeflenen kişinin mesajları almasını engelleyebilir. Bu şekilde, kullanıcılar arasındaki doğrudan iletişim kesilebilir.

Bu tür saldırılardan korunmak için güvenli iletişim kanalları kullanmak, güçlü şifreleme yöntemleri kullanmak, güvenilir ağlara bağlanmak ve kullanıcıların bilinçlenmesi ve güvenlik önlemlerini uygulaması önemlidir.

1.1 Koklama (Sniffing)

Paket dinleme veya ağ dinleme olarak da bilinen koklama (sniffing) yöntemi, ağ trafiğini incelemek için paketlerin yakalanması ve analiz edilmesi işlemidir. Kablolu veya kablosuz ağlar üzerinde iletilen paketleri yakalamak ve içeriklerini incelemek üzerine kuruludur.

Paket dinleme, paketlerin kaydedildiği ve içeriklerinin incelendiği özel yazılım veya donanım araçları olan paket dinleyicileri (Wireshark, tcpdump vs.) kullanılarak gerçekleştirilebilir. Bu araçlar, paketleri ağ üzerinde dolaşırken kaynak ve hedef adreslerini yakalar. Kullanılan protokolleri, veri yüklerini ve diğer ilgili meta verileri gibi paketlerle ilgili ayrıntılı bilgiler sağlar.

Şekil 2 Paket Dinleme (Wireshark)

Paket dinleme, ağ sorunlarını giderme, performans izleme, güvenlik analizi ve ağ adli tıp gibi çeşitli amaçlar için kullanılır. Ancak, yetkisiz kişiler tarafından da kötü amaçlı olarak kullanılabilir. Paketlerin şifresiz metin olarak iletilmesi durumlarında kullanıcı adları, şifreler veya gizli veriler gibi bilgileri toplamak kolaylaşır.

Yetkisiz paket dinlemeye karşı korunmak için, ağ şifreleme teknikleri kullanılarak iletilen veriler güvence altına alınır ve dinleyicilerin paket içeriklerini çözümlemesini zorlaştırır.

1.2 IP ve MAC Sahteciliği (IP and MAC Spoofing)

IP, bilgisayar ağları üzerinde veri paketlerinin yönlendirilmesini ve iletilmesini sağlayan altta yatan protokoldür ve internet üzerinde iletişimin temelini oluşturur. MAC ise ağdaki cihazların benzersiz donanım adresleridir. Ağa dahil olan her cihazın bir MAC adresi vardır.

IP sahteciliği, saldırganların bir IP paketinin başlığında geçerli bir bilgisayar oturumunun kullanılması için IP adresini manipüle etmesi veya sahteleştirmesi işlemidir (Güngör, 2021). IP adresini sahteleştirerek saldırgan, paketin güvenilir bir kaynaktan geldiğine inanan alıcıyı aldatabilir. Bu, saldırganın kimliğini veya konumunu gizlemesini, ağ filtrelerini veya güvenlik duvarlarını atlamasını veya çeşitli saldırıları başlatmasını sağlayabilir.

MAC sahteleştirme ise, bir saldırganın bir ağ cihazının MAC adresini manipüle etmesi veya sahteleştirmesi işlemidir. MAC adresi, bir cihazın ağ arayüzüne atanmış benzersiz bir tanımlayıcıdır. MAC adresini sahteleştirerek, saldırgan ağdaki başka bir cihazı taklit edebilir, MAC adresine dayalı kimlik doğrulama veya filtreleme önlemlerini atlatabilir veya MAC adresine dayalı güven ilişkilerine dayanan saldırılar başlatabilir.

IP ve MAC sahteleştirme, genellikle ağ saldırılarında kullanılan, ağ cihazlarını aldatmak, yetkisiz erişim elde etmek veya güvenlik önlemlerini atlamak amacıyla kullanılan tekniklerdir. Bu teknikler, ortadaki adam saldırılarında kullanılan saldırı çeşitleridir.

1.3 Adres Çözümleme Protokolü Zehirleme (ARP Poisoning)

ARP zehirleme saldırısını incelemeden önce ARP kavramı detaylandırmak faydalı olacaktır. Önceki bölümde IP ve MAC kavramlarına değinilmiştir. Ağa dahil olan her cihazın bir MAC adresi vardır. Aynı zamanda, ağdaki tüm cihazların yine bir IP adresi vardır. ARP ise ağda bir IP adresine karşılık gelen fiziksel (MAC) adresini eşleştirmek için kullanılan bir iletişim protokolüdür.

ARP zehirlenmesi, ARP önbelleğini manipüle ederek ağ trafiğini yönlendiren bir tür siber saldırıdır. ARP zehirlenmesi saldırısında, saldırgan hedef cihaza veya ağa sahte ARP mesajları göndererek saldırganın MAC adresini başka bir meşru cihazın IP adresiyle yanlış bir şekilde ilişkilendirir. Bu, hedef cihazın veya ağın ARP önbelleğini yanlış eşlemeyle güncellemesine neden olur ve meşru cihaz için tasarlanmış ağ trafiğini saldırganın makinesine yönlendirir.

ARP zehirlenmesi saldırıları, statik ARP girdileri kullanma, ARP sahtecilik tespit ve önleme mekanizmaları uygulama ve ağ bölümlendirme ve şifreleme tekniklerini kullanma gibi güvenlik önlemleri uygulayarak hafifletilebilir. Ağ izleme ve güvenlik yamalarının düzenli olarak güncellenmesi de ARP zehirlenmesi saldırılarına karşı korumaya yardımcı olabilir.

1.4 Alan Adı Sistemi Sahteciliği (DNS Spoofing)

Alan adı sistemi (DNS), internet üzerindeki alan adlarını (örneğin, www.istanbularel.edu.tr) karşılık gelen IP adreslerine çeviren bir hizmettir. DNS sahteciliği saldırısı, bu süreci manipüle ederek kullanıcıları yanıltır ve istenmeyen sonuçlar elde etmek amacıyla hatalı IP adresleri sağlar.

DNS sahteciliği saldırısı genellikle şu adımları içerir:

  • Saldırgan, hedef kullanıcıların DNS sorgularını takip etmek için ağ trafiğini izler.
  • Kullanıcının DNS sorgusu yapmasına neden olmak için sahte bir DNS sunucusu kullanır.
  • Saldırgan, kullanıcının istediği alan adı için sahte bir DNS yanıtı gönderir.
  • Sahte DNS yanıtında, hedef alan adının IP adresi yerine saldırganın istediği bir IP adresi bulunur.
  • Kullanıcı, sahte IP adresine yönlendirildiğinde, hedef web sitesine veya hizmete değil, saldırganın kontrolünde olan bir sunucuya erişir.
  • Saldırgan, kullanıcının verilerini çalabilir, yanlış bilgiler sağlayabilir veya başka zararlı faaliyetlerde bulunabilir.

DNS sahteciliği saldırıları, kullanıcıların güvendiği web sitelerine veya hizmetlere girmelerini engelleyerek bilgi hırsızlığı, kimlik hırsızlığı ve diğer zararlı sonuçlara neden olabilir.

1.5 SSL Soyma (SSL Stripping)

SSL soyma, güvenli bağlantı protokolleri olan SSL veya TLS’i hedef alan bir saldırı tekniğidir. Bu saldırıda, saldırgan kullanıcının güvenli bir bağlantı kurmaya çalıştığı bir web sitesi ile iletişimini engeller ve kullanıcının bilgilerini çalmak veya manipüle etmek amacıyla müdahale eder.

SSL soyma saldırıları genellikle Orta Adam saldırısı (Man-in-the-Middle) olarak gerçekleştirilir. Saldırgan, kullanıcı ile hedef web sitesi arasındaki iletişimi bir ağ cihazı veya kötü niyetli yazılım aracılığıyla engeller. Kullanıcının tarayıcısı ile web sitesi arasındaki bağlantı başlangıçta şifreli olsa da saldırgan başarılı bir şekilde şifreli bağlantıyı kırar ve kullanıcının tarayıcısına sunulan güvenli bağlantıyı şifrelenmemiş bir bağlantıya dönüştürür.

SSL soyma saldırısı sırasında, kullanıcının tarayıcısı web sitesini “http” olarak değil “https” olarak görüntüler. Kullanıcı web sitesine olan güvenini kaybeder ve tüm iletişim şifrelenmemiş hale gelir, bu da saldırganın iletilen verileri potansiyel olarak ele geçirmesine ve manipüle etmesine olanak tanır.

1.6 Oturum Hırsızlığı (Session Hijacking)

Oturum hırsızlığı, bir bilgisayar sisteminde mevcut olan geçerli bir oturumun kötü niyetli bir tarafından ele geçirilerek yetkisiz erişim elde edilmesidir. Bu saldırı, web oturum yönetimi mekanizmasındaki zayıflıklardan yararlanarak gerçekleştirilir. Saldırgan, geçerli bir oturum belirtecini çalarak veya tahmin ederek web sunucusuna yetkisiz erişim sağlar ve oturum belirtecinin güvenliğini ihlal eder. Bu şekilde, saldırgan meşru bir kullanıcının oturumunu ele geçirir ve onun adına eylemlerde bulunabilir veya hassas bilgilere erişebilir (Session Hijacking Attack, Anonim, b.t.).

2 Hizmet Dışı Bırakma Saldırıları (DoS ve DDoS)

Hizmet dışı bırakma saldırıları, kısaca DoS olarak adlandırılır. Bu tür saldırılar, bir bilgi sisteminin erişilebilirliğine yönelik olarak gerçekleştirilir ve sistemin hizmetini engellemeyi hedefler. DoS saldırıları, bilgi hırsızlığı veya kurum sistemlerine sızma amacıyla yapılmaz. Temel amaç, sistemlerin geçici veya tamamen hizmet veremeyecek duruma gelmesidir. DoS saldırıları farklı yöntemlere sahiptir. Bu yöntemlerin ortak amacı, sunuculara çok sayıda sahte bağlantı kurarak aşırı bir iş yükü oluşturmak ve sunucunun gerçek bağlantı taleplerine cevap veremeyecek hale gelmesini sağlamaktır (Güngör, 2021).

Dağıtık Hizmet Dışı Bırakma Saldırısı (DDoS) ise organize bir şekilde gerçekleştirilen saldırılardır. Bu saldırılarda genellikle birçok bilgisayar kaynak olarak kullanılır. DDoS saldırısının amacı, işletmeleri veya organizasyonları itibar kaybına uğratmak ve finansal zarar vermektedir. Saldırının arkasındaki kişileri bulmak neredeyse imkansızdır (Güngör, 2021).

Bu saldırı türleri, bilgi sistemlerinin normal işleyişini etkileyerek hizmetlerin kesintiye uğramasına ve kullanıcı deneyimini olumsuz etkilemeye yönelik riskler taşır.

3 Zararlı Yazılımlar (Malware)

Kötü niyetli yazılımlar, siber saldırıların temel silahlarından biridir. Genel olarak belirli bir amaca yönelik olarak tasarlanmış kötü niyetli kod parçacıklarıdır. İşlevli veya işlevsiz farklı yazılımlar aracılığıyla sisteme yüklenebilir. Sisteme erişimi kolaylaştırmak için güvenlik açıkları bırakabilir veya kaydedilen verileri başka bir yere transfer edebilirler.

Zararlı yazılımlar aşağıdaki gibi sıralanabilir:

· Bilgisayar virüsleri

· Kurtçuklar (worm)

· Truva Atı (trojan)

· Klavye izleme yazılımları (keylogger)

· İstenmeyen ticari yazılımlar (adware)

· Bilgi toplayan casus yazılımlar (spyware) (Durmuş, 2021).

Zararlı yazılımlar genellikle kullanıcının bilgisi olmadan sistemlere veya cihazlara bulaşır ve veri kaybı, veri hırsızlığı, sistem performansının düşmesi, kişisel bilgilerin çalınması, maddi zarar ve diğer siber suçlar gibi çeşitli olumsuz etkilere neden olabilir.

Zararlı yazılımlar genellikle internetten dosya indirme, zararlı web sitelerini ziyaret etme, e-posta ekleri, taşınabilir depolama aygıtları ve güvenlik açıklarını hedef alan saldırılar gibi yollarla yayılır. Güvenlik önlemleri alınmadığında, kötücül yazılımlar bir sisteme sızabilir ve zararlı etkilerini gösterebilir. Bu nedenle, kullanıcıların güvenlik yazılımları kullanması, yazılımlarını güncel tutması, güvendikleri kaynaklardan dosya indirmesi ve bilinmeyen e-posta eklerini açmaktan kaçınması, kötücül yazılımlarla ilişkili riskleri azaltmak için önemlidir.

4 Fidye Yazılımlar (Ransomware)

Fidye yazılımlar, bilgi sistemlerinin veya dosyaların erişimini engelleyen ve kullanıcıları dosyalarına erişmek için fidye ödemeye zorlayan zararlı yazılımlardır. Bu tür fidye yazılımlar, hedef sistemlerde bir ekran uyarısı olarak ortaya çıkar (Şekil 8) ve kullanıcılara dosyalarının şifrelendiğini ve erişimin kısıtlandığını bildirir. Erişimi yeniden açmak için fidye talep ederler (Güngör, 2021).

Şekil 3 Fidye Yazılım Örneği (Andrioaie, 2021).

Geçmiş yıllarda fidye yazılımlara yapılan ödemeler geleneksel ödeme yöntemleri aracılığıyla gerçekleştirilirken, güvenlik güçleri bu ödemeleri izleyerek suçluları kolayca tespit edebiliyordu. Ancak günümüzde Ethereum, Bitcoin gibi kripto para birimleri ve ödeme kanalları kullanılarak yapılan ödemeler nedeniyle siber suçluların tespiti ve izlenmesi neredeyse imkânsız hale gelmiştir. Fidye yazılımlar, dünyada en yaygın siber tehditlerden biri olarak kabul edilmekte ve özellikle finans, sağlık ve telekomünikasyon sektörlerinde faaliyet gösteren işletmelere yönelik fidye yazılım saldırıları artmaktadır (Güngör, 2021).

5 Oltalama (Phishing)

Oltalama, internet kullanıcılarının kandırılarak veya ikna edilerek, kişisel verileri, şifreleri gibi hassas bilgilerinin ele geçirilmesi amacıyla kullanılan bir yöntemdir. Bu yöntemde, en yaygın olarak bankacılık sektörü veya e-ticaret hizmeti sunan web sitelerinin taklitleri oluşturulur ve kullanıcılara bu sahte sitelerin bağlantılarını içeren e-postalar gönderilir. Kullanıcılar, bu sahte sitelere girmeye teşvik edilmek için güvenli bir kaynaktan geldiği yanılsamasına kapılıp e-postalardaki bağlantılara tıklarlar. Bu durumda, kullanıcılar sahte sitelere yönlendirilir, sahte sitelerde bulunan hırsızlık formlarını doldurmaları sağlanır ve bu şekilde verilen bilgiler siber saldırganlar tarafından ele geçirilir.

6 Gelişmiş Kalıcı Tehditler (APT)

Gelişmiş sürekli tehdit (APT), genellikle yetenekli bir bilgisayar korsanı grubu tarafından uzun bir süre boyunca sürdürülen sofistike ve sistemli bir siber saldırı programıdır. Bu bilgisayar korsanı grubu ve yarattıkları tehdit, belirli bir amaca yönelik olarak saldırıyı planlar ve gerçekleştirir. Sabotaj ve ticari casusluk gibi amaçlara hizmet edebilir (Gelişmiş Sürekli Tehdit Nedir?, Anonim, b.t.).

APT, farklı amaçlarla fikri mülkiyet unsurlarını çalmaktan kişisel finansal bilgileri toplamaya kadar geniş bir yelpazede faaliyet gösterir. Ayrıca, mevcut güvenlik önlemlerini aşmayı ve en fazla zararı vermek için tasarlanmıştır. Kararlı ve deneyimli bir suçlu veya suçlu grubu, istedikleri bilgilere ulaşmak için birçok farklı giriş noktasını kullanabilir ve tespit edilmemek için aylarca hatta yıllarca faaliyet gösterebilir (Gelişmiş Sürekli Tehdit Nedir?, Anonim, b.t.).

Bir APT saldırısı senaryosunu inceleyelim.

Büyük bir teknoloji şirketini hedef alan bir hacker grubu olduğunu varsayalım. Amacı, şirketin geliştirdiği yeni, son teknoloji bir teknolojiye ilişkin değerli fikri mülkiyeti çalmak olsun. APT saldırısı, saldırganların şirketin ağ altyapısı, çalışanları ve güvenlik önlemleri hakkında kapsamlı bir keşif yapmasıyla başlar.

Saldırganlar, özenle hazırlanmış bir oltalama e-postası aracılığıyla hedef şirkete yönlendirerek, insan faktörü gibi kolay bir giriş noktası belirlerler. E-posta, çalışanın güvendiği bir kaynaktan gelmiş gibi görünür ve çalışanı, zararlı bir bağlantıya tıklamaya veya zararlı bir dosyayı açmaya teşvik eder. Çalışan yük ile etkileşime girdiğinde, saldırganlar şirketin ağına giriş yapmış olur.

Buradan, APT saldırısı sessizce ve gizlice ilerler. Saldırganlar ağ üzerinde yan yana hareket eder, ayrıcalıklarını artırır ve güvenlik kontrollerini atlatacak şekilde tespit edilmemeye özen gösterir. Aylar süren bir dönem boyunca, saldırganlar sürekli olarak kaynak kodu, tasarım belgeleri ve özel algoritmalar gibi hassas verileri çalarlar. İzlerini özenle örterler, şifreleme ve gizli iletişim kanalları kullanarak tespit edilmekten kaçınırlar.

APT saldırısı, çalınan fikri mülkiyetin rekabet eden bir şirketin ürününde ortaya çıkması veya iç denetimde şüpheli faaliyetlerin ortaya çıkması gibi bir durumda fark edilir. Bu zamana kadar, saldırganlar hedeflerine ulaşmış ve şirkete önemli miktarda mali kayıp, itibar zararı ve potansiyel olarak rekabet avantajının tehlikeye girmesine neden olmuşlardır.

Bu senaryo, APT saldırılarının hedeflenen kuruluşlara sızmak ve değerli bilgileri çıkarmak için titiz planlama, ileri teknikler ve uzun vadeli bir yaklaşım gerektirdiğini göstermektedir.

7 Kaba Kuvvet (Brute Force)

Bu yöntem, istenen bir çözümü bulmak veya hedeflenen bir sonuca ulaşmak için tüm olası seçenekleri veya kombinasyonları sistematik bir şekilde denemeyi içerir. Özel bir bilgi veya zekâ kullanmadan, tüm seçeneklerin denendiği yorucu ve tekrarlayıcı bir yaklaşımdır. Parola kırma veya şifreleme bağlamında, kaba kuvvet yöntemi, doğru parolayı veya şifreleme anahtarını bulana kadar tüm olası karakter kombinasyonlarını denemeyi içerir. Kaba kuvvet saldırıları zaman alıcı olabilir, ancak arama alanı sınırlı ise ve saldırgan yeterli hesaplama gücüne sahipse etkili olabilir.

Gelişen teknoloji ve bilgi birikimi ile oluşturulan kaba kuvvet araçları, tüm olası kombinasyonları denemek için kullanılabilir. Bu saldırılar, önceden hazırlanmış bir kelime veya karakter listesini kullanarak popüler veya yaygın kullanılan şifreleri veya parolaları denemeyi içerir. Kaba kuvvet aracı belirli bir karakter seti üzerindeki tüm kombinasyonları sırayla deneyerek hedeflenen sonucu bulmaya çalışır.

8 Kod Enjeksiyonu (Code Injection)

Kod enjeksiyonu, uygulama tarafından çalıştırılabilecek kodun enjekte edildiği saldırı türleridir. Bu tür saldırılar, güvensiz bir şekilde işlenen güvenilmeyen verilerin kötüye kullanılmasını hedefler. Bu tür saldırılar genellikle uygun giriş/çıkış veri doğrulamasının eksikliğinden kaynaklanır (Code Injection, Anonim, b.t.).

En yaygın kod enjeksiyon saldırısı yapılandırılmış sorgu dili (SQL) enjeksiyonudur. SQL enjeksiyonu, bir saldırganın kötü niyetli bir şekilde SQL kodunu bir uygulamanın veritabanı sorgusuna enjekte ettiği saldırı türüdür. SQL enjeksiyon saldırısının amacı, veritabanı sorgusunu yetkisiz eylemler gerçekleştirmek veya hassas bilgileri elde etmek için manipüle etmektir. Saldırgan, özenle hazırlanmış SQL ifadelerini enjekte ederek kimlik doğrulama mekanizmalarını atlayabilir, veritabanına yetkisiz erişim sağlayabilir, verileri manipüle edebilir.

SQL enjeksiyon saldırılarının yetkisiz veri ifşası, veri manipülasyonu, veritabanı veya uygulama güvenliğinin tehlikeye girmesi ve potansiyel olarak tüm sisteme yayılma riski gibi ciddi sonuçları olabilir. SQL enjeksiyonu, web uygulamalarının güvenliği için önemli bir tehdit oluşturan yüksek riskli bir güvenlik açığı olarak kabul edilir.

SQL enjeksiyon saldırılarını önlemek için, SQL kodunu kullanıcı tarafından sağlanan veriden ayrıştıran hazırlanmış ifadeler veya parametreli sorgular kullanmak önemlidir. Doğru giriş doğrulama, giriş temizleme ve en az ayrıcalık ilkesini uygulamak da riski azaltmada önemlidir. Düzenli güvenlik testleri ve kod incelemeleri, potansiyel güvenlik açıklarını tespit etmede ve gidermede yardımcı olabilir.

9 Siteler Arası Komut Çalıştırma (XSS)

Siteler arası komut dosyası çalıştırma saldırısı (XSS), bir bilgisayar korsanının, güvenilir bir web sayfasının içeriğine, genellikle istemci tarafında çalışan kötü niyetli kodu enjekte etmesiyle gerçekleşen bir saldırı türüdür. Bu saldırıda, kötü niyetli komut dosyası genellikle kullanıcı tarafı programlama dillerinde yazılır.

XSS saldırılarına eğilimli web uygulamaları genellikle kullanıcı girişlerini doğrulamaz veya doğru şekilde kodlamaz. Bir saldırgan, bu güvenlik açığından yararlanabilir ve şüphelenmeyen bir kullanıcıya zararlı bir komut dosyası gönderebilir. Maalesef, kullanıcının tarayıcısı, komut dosyasının güvenilir bir kaynaktan geldiğini düşünerek onu çalıştırır; bu da potansiyel olarak zararlı etkiler doğurabilir ve kullanıcıya zarar verebilir.

Tipik olarak, siteler arası komut dosyası çalıştırma saldırısı şu şekilde çalışır:

· Siber suçlular, kullanıcıların girdilerini kabul eden bir web sayfasının XSS saldırılarına açık olduğunu keşfeder. Kullanıcıların yorum kutuları, giriş formları veya arama kutuları aracılığıyla girdilerini kabul ediyor olabilir.

· Saldırganlar kötü amaçlı bir komut dosyası oluşturur ve bunu şüphelenmeyen bir kullanıcıya gönderir. Yükü bir kimlik avı bağlantısına ekleyebilir ve hedef alınan kişiyi tıklamaya ikna edebilir.

· Hedeflenen kişi kötü niyetli bağlantıyı tıkladığında, şimdiye kadar güvendiği savunmasız web sayfasına yönlendirilir.

· Yük, savunmasız web sayfasına enjekte edilir ve hedef alınan kişinin web tarayıcısı bunu meşru kaynak kodu olarak değerlendirir.

· Şüphelenmeyen kullanıcı bazı girdiler girip bunları gönderdiğinde, yük siber suçluların talimatlarına göre yürütülür (XSS Nedir? Cross-Site Scripting Zafiyeti Nasıl Giderilir?, Anonim, 2022).

10 Sıfırıncı Gün Atakları (Zero Day)

“Sıfır gün” (zero-day), bilgisayar korsanlarının sistemlere saldırmak için kullanabilecekleri güvenlik açıklarını ifade eden genel bir terimdir. “Sıfır gün” terimi, yazılım tedarikçisinin veya geliştiricinin henüz sorunu fark etmediği ve sorunu düzeltmek için henüz bir çözüm sunmadığı anlamına gelir. Bilgisayar korsanları, bu açığı keşfettiklerinde ve tedarikçi düzeltme yayınlamadan önce bu açıktan yararlanarak sıfır gün saldırısı gerçekleştirebilirler.

“Yararlanma (exploit)” ve “saldırı” terimleri sıfırıncı gün ataklarında sıkça birlikte kullanılır ve aralarındaki farkı anlamak önemlidir:

  • Sıfır gün exploit’i, daha önceden bilinmeyen bir güvenlik açığına sahip sistemlere saldırmak için bilgisayar korsanlarının kullandığı yöntemdir.
  • Sıfır gün saldırısı ise, bir güvenlik açığından etkilenen bir sistemde zarar vermek veya veri çalmak için sıfır gün güvenlik açığından yararlanmaktır (Sıfır Gün Saldırısı nedir? — Tanım ve Açıklama, Anonim, b.t.).

Sıfır gün saldırıları, genellikle yazılımlarda kullanıcıların zarar görebileceği güvenlik açıklarıyla ilgilidir. Yazılım geliştiricileri, bu açıkları tespit etmek ve düzeltmek için güncellemeler yayınlamaya çalışır. Ancak bazen saldırganlar, yazılım geliştiricilerden önce güvenlik açığını keşfedebilirler. Saldırganlar, güvenlik açığı düzeltilmeden önce bir exploit kodu hazırlayarak bu açığı kullanabilirler.

Exploit kodu, kullanıcıların kimlik hırsızlığı gibi zararlı etkilere maruz kalmasına neden olabilir. Saldırganlar, sıfır gün güvenlik açığına sahip sistemlere erişim sağlamak için genellikle sosyal mühendislik yöntemlerini kullanır. Örneğin, saldırganlar, güvendiği bir kaynaktan geliyormuş gibi görünen ancak gerçekte saldırganın gönderdiği bir e-posta veya ileti aracılığıyla kullanıcıyı zararlı bir dosyayı açmaya veya kötü amaçlı bir web sitesini ziyaret etmeye ikna etmeye çalışabilirler.

Güvenlik açıkları tespit edildiğinde, geliştiriciler saldırıları durdurmak için bu açıkları düzeltmeye çalışır. Ancak güvenlik açıkları genellikle hemen fark edilemez ve geliştiricilerin bunları tespit etmesi zaman alabilir. Sıfır gün güvenlik açığına yönelik bir çözüm yayınlandıktan sonra bile, kullanıcıların bu çözümü hızlı bir şekilde uygulamaları mümkün olmayabilir. Son yıllarda bilgisayar korsanları, sıfır gün saldırılarını daha hızlı bir şekilde gerçekleştirebilmektedirler. Elde edilen veriler, karanlık web üzerinde yüksek fiyatlarla satılabilmektedir. Bir exploit keşfedildikten ve düzeltme uygulandıktan sonra sıfır gün tehdidi ortadan kalkar. Sıfır gün saldırıları özellikle tehlikelidir, çünkü saldırıyı gerçekleştiren tarafın bilgi sahibi olduğu tek taraftır. Saldırganlar bir sisteme sızdıktan sonra hemen saldırabilir veya en uygun zamanı bekleyebilirler (Sıfır Gün Saldırısı nedir? — Tanım ve Açıklama, Anonim, b.t.).

Yazı dizisinin son bölümünde ‘saldırı tespit ve önleme sistemleri’ detaylandırılacaktır.

Faydalı olması dileğiyle.

Kaynaklar:

Akdeniz, Ö. (2023) Kurumlarda Siber Güvenlik ve Bilgi Güvenliği. Yüksek Lisans Bitirme Projesi. İstanbul Arel Üniversitesi, İşletme Ana Bilim Dalı.

Başeskioğlu, M.Ö. (2021). Siber Güvenlik, Bilgisayar Ağları, Kimlik Avı, Kötü Amaçlı Yazılım, Fidye Yazılımı, Sosyal Mühendislik Biçiminde Korsanlıktan Korunmaya Yönelik İncelemeler ve Bir Uygulama. Yüksek Lisans Tezi. Yalova: Yalova Üniversitesi Adli Bilişim Anabilim Dalı.

Güngör, N. (2021). İç Denetimde Bilgi Teknolojileri ve Siber Güvenlik: Borsa İstanbul Şirketlerinde Bir İnceleme. Doktora Tezi. İstanbul: İstanbul Üniversitesi SBE.

Session Hijacking Attack (Oturum Kaçırma Saldırısı) (t.y.) https://www.gaissecurity.com/wiki/session-hijacking-attack-oturum-kacirma-saldirisi (22 Mayıs 2023).

Durmuş, Ö. (2021). Siber Güvenlik Önlemlerinin Analizi ve Modellenmesi. Yüksek Lisans Tezi. Elazığ: Fırat Üniversitesi Yazılım Mühendisliği Ana Bilim Dalı.

Gelişmiş Sürekli Tehdit Nedir? (t.y.) https://www.forcepoint.com/tr/cyber-edu/advanced-persistent-threat-apt (24 Mayıs 2023).

Code Injection (t.y.) https://owasp.org/www-community/attacks/Code_Injection (25 Mayıs 2023).

XSS Nedir? Cross-Site Scripting Zafiyeti Nasıl Giderilir? (2021) https://bulutistan.com/blog/xss-cross-site-scripting-nedir/ (21 Mayıs 2023).

Sıfır Gün Saldırısı Nedir? — Tanım ve Açıklama (t.y.) https://www.kaspersky.com.tr/resource-center/definitions/zero-day-exploit (22 Mayıs 2023).

Man In The Middle Attack
Ddos
Malware
Ransomware
Zero Day

--

--

Oner Akdeniz
Fiba Tech Lab

Written by Oner Akdeniz

8 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams