Muhabirin Notları: Ünlü bir hacker olmayan Johnny Long, Blakc Hat adlı hacker konferansında, teknik sunumlar arasında bu güne kadar katılmaktan en çok keyif aldığım sunumunda, Black Hat kapsamında oldukça büyük bir izleyici kitlesine Hollywood’da hack eylemine nasıl bakıldığını örnekleriyle gösterdi.
Pek çok Hollywood filminden alınmış, hack eylemini anlatan komik pasajların yer aldığı sunumda izleyicilere bu pasajların “l33t”* mi yoksa “lame”** mi oldukları sorulmaktaydı.
“Leet”* “elit” veya “havalı” anlamına geliyor. Long elindeki pasajları sunduktan sonra salondaki, tüm o büyülenmiş seyirci topluluğundan “leet” ve ya “lame” nidaları yükselmekteydi. Aynı soru, aslında Black Hat 2006 konferansının bütünü için de iyi bir ölçü sorusu olurdu.
Muhtemelen toplum içerisinde konuşma yapan bir FBI ajanının da bu kadar şakacı olmasını beklemezsiniz. Ama FBI Birim Şefi Dan Larkin, yapmış olduğu Black Hat açılış konuşmasında bir dizi espri girişiminde bulundu.
Larkin’in Black Hat konferansında sunum yapmasının nedeni, güvenlik sektöründeki profesyonelleri FBI’la çalışma konusunda yüreklendirme amacıylaydı. Larkin, FBI giriş formlarında “ABD hükümetinin güç kullanarak, ve zorla yıkılması veya devrilmesini destekliyor musunuz?” şeklinde bir soru yer aldığını aktararak ilk esprisini yaptı.
Soru, doğru-yanlış sorularından biri olarak görülmekteydi. Larkin testi yanıtlayan adaylardan birisinin sorunun çoktan seçmeli olup olmadığını sorduğunu anlattı.
İlginç değil mi?
Konferansın ikinci gününde cross-site scripting (bir kaç siteden kod çalıştırma)***, cross site request forgery (siteler arası talep sahteciliği)**** JavaScript ve AJAX’a ilişkin saldırı yöntemleri ve açıklar konusunda bir sürü sunum vardı.
Kullanıcı deneyimi ve içerik yaratma açısından AJAX ve XML-tabanlı teknolojilerdeki ani yükseliş göz önüne alınırsa, bu tipteki uygulamalar için güvenliğin öncelikli olması çıkış noktalarından birisi gibi.
RSS’nin kötü amaçlı saldırılar için bir taşıma sistemi olarak kullanıldığını hiç duymuş muydunuz? Ben, bu konudaki oldukça ciddi riskleri gözler önüne seren Black Hat konferansına katılana dek hiç duymamıştım.
iSEC Partners’ın ana ortağı Alex Stamos, “AJAX Web Uygulamalarını Kırmak” başlıklı sunumunda AJAX’ta yer alan güvenlik açıklarından, Web geliştiricilerini (webmasterlar ya da web programcılar) sorumlu tutuyor. Stamos şöyle diyor :
Güvenliği Web geliştiricilerine bırakamazsınız. Onlar yalnızca kum havuzunda oynayan çocuklar.
Bu yılın başlarında düzenlenen Interop konferansında, birbiri ardına konuşma yapan sağlayıcıların tümü bir çeşit network giriş kontrolü (NAC) metodolojisinin sağlayacağı faydalardan bahsediyorlardı. Sağlayıcılardan sadece biri aleyhte konuşmuş ve rakiplerinin sunduğu NAC yaklaşımını eleştirmişti. Ardından Black Hat’te yapılan sunumlar geldi ve bir anda NAC gözüme eskiden olduğu kadar pozitif görünmemeye başladı.
Güvenlik araştırma firması InsightiX’in yönetim kurulu başkanı Ofir Arkin, yaptığı 60 dakikalık bir sunumla NAC konusunda DHCP-tabanlı yaklaşımların (802.1x’in karşısında) tamamen şaşmaz olmadıklarına beni inandırdı.
Yine çok ilginçti..
Ve elbette Black Hat’e katılmadan önce H.D Moore’un Metasploit Framework’ü hakkında fikir sahibiydim. Ancak Metasploit ustasını bizzat iş başında görmek ve yeni çıkacak olan Metasploit 3’ü detaylandırırken ve sağlayacağı yenilikler hakkında demo sunarken izlemek gerçeküstü bir deneyimdi.
Moore, “sızma” detaylarını anlatırken teknik anlamda sahneye bir rock yıldızı kadar hakimdi ve yetersiz olmakla suçladığı IDS sağlayıcılarına karşı tokat gibi sunumuyla seyircileri hayretlere boğdu.
Peki Hollywood filmlerindeki hack örnekleri, gerçekte yaşananları ne derece yansıtıyor?
Long’un tabiri ile görünüşe göre oldukça iyi yansıtıyor. Tabi eğer Google’ın, neyin gerçek olduğu neyin ise olmadığı konusunda otorite olduğunu kabul ediyorsanız.
Kendisi de bir Hollywood kahramanını andıran Long, Google hackleri konusundaki on-line ansiklopedisi (Johnny.ihackstuff.com) ile oldukça iyi tanınıyor ve aynı zamanda “Google Hacking for Penetration Testers” adlı kitabın da yazar kadrosunda yer almakta.
Long’un sunumu eğlendirici bir sunum olmasına karşın, sunumdaki en sıra dışı hadise Long’un sosyal vicdanı idi. Long, sunumunun hem başında, hem de sonunda Amazon aracılığı ile sitesinden yapılacak olan tüm satışlardan elde edilecek gelirin, Uganda’daki dul ve yetimlere destek sağlayan hayır kurumlarına bağışlanacağının altını çizdi.
Sosyal vicdana sahip bir hacker. İşte asıl ilginç olan bu.
Peki sonuç olarak Black Hat USA 2006 “leet” mi yoksa “lame” miydi? Bu oldukça retorik bir soru.
Diğer teknolojilerin yanı sıra VoIP, RFID, AJAX, NAC, RSS ve Vista için detaylı olarak gösterilen açıklar ve saldırı yöntemleri dolayısıyla Black Hat 2006’ya “ilginçti” demek sanırım çok yerinde olur.
* Leet, (bazen 1337 veya l33t olarak da yazılır) hackerlar arasındaki jargonda havalı anlamına gelir. Elite (elit – seçkin) sözcüğünün deforme halidir.
** Lame kelime kökeni olarak yetersiz, sakat anlamına gelmekle birlikte hackerların jargonunda genel anlamda olmadığı biriymiş gibi davranıp bu yolla hackerlar arasında statü sahibi olmaya çalışmayı niteler.
*** Cross-Site Scripting : Genellikle URL’deki parametreler gibi dinamik data’yı kullanarak kullanıcının bilgilerini açığa çıkarmak amacıyla kullanılmakta olan bir hack yöntemidir.
****- Cross Site Request Forgery (CSRF) : her ne kadar genellikle cross-site scripting ile karıştırılıyor olsa da aslında oldukça farklı hatta neredeyse zıt olan bir hack metodudur. Cross-site scripting’de bir kullanıcının bir Web sitesine duyduğu güven istismar edilirken, bu yöntemde bir Web sitesinin kullanıcıya duyduğu güven talimat veren sahte bir kullanıcı üretilmesi yoluyla istismar edilmektedir. Bu saldırılar daha zor savuşturulur dolayısıyla cross-site scripting ve XSS ataklarına göre daha tehlikelidirler.
***** Metasploit, istismar kullanımını kolaylaştırmak ve tek elden bu işi gerçekleştirmek için kullanılan bir yapı iskeletidir.Güvenlik testleri için kullanılabileceği gibi, başka amaçlar içinde kullanılabilmektedir
Kaynak : 