LAS VEGAS – Bazen yüksek teknolojiden kurtulmak için ileri teknoloji kullanmanız gerekmez.
Bu yıl Las Vegas’ta düzenlene Black Hat güvenlik konferansında, sistem saldırılarında genellikle kullanılan ileri teknoloji metotları tartışıldı. Ayrıca daha çok düşük teknoloji yöntemleri olarak niteleyebileceğimiz diğer birçok sistem ve güvenlik saldırı yöntemi de tartışma konuları arasındaydı.
Birçok güvenlik kitabının yazarı olan ve kendini güvenlik konusunda Ninja olarak tanımlayan, hacker ve aynı zamanda da korsan Kaptan Morgan’ın** varisi olan Johnny Long, muhtemelen düşük-teknoloji kullanan hackerların en somut ismi. Kalabalığın salondan taştığı bir sunumda Long, boğuk bir sesle konferansın asıl konusu olması gereken şeyi yani teknoloji kullanmaksızın yapılan Internet korsanlığını anlattı.
Johnny I Hack Stuff adlı sitesiyle de bilinen Long, bir otoparktaki arabaların resimlerine bakarak araba sahipleri hakkında fikir yürütmek gibi bir dizi teknik ile konferansı izleyenleri eğlendirdi. Ayrıca Long bir çöp konteynırına girerek araştırma yaptığı resimlerle de izleyenleri kahkahaya boğdu. Ancak çöp konteynırında Sosyal Güvenlik kartları ve kişisel sağlık bilgileri bulması kahkahaların kesilmesine yol açtı.
Konferansın belki de en enteresan yanı ise Long’un sadece bir hacker değil aynı zamanda bir Jedi olduğunu öğrenmemizdi. Orijinal Yıldız Savaşları filminde Obi-Wan Kenobi’nin İmparatorluk Askerleri’nin önünde ellerini havada sallayarak onları zihin gücüyle etkilediği sahneden sonra Jedi hareketi adını alan bu hareketi Long’da yapabiliyor. (Filmde Kenobi askerlerin zihnine girerek “Bunlar sizin aradığınız droitler değil. İşinize bakın. Yoldan çekilin.” talimatı veriyordu.)
Long’un sunumunda ise, Long bir AT&T yaka kartının sahtesini yapıyor ve sadece insanlara farklı noktalarda bu kartı göstererek pek çok binaya erişim sağlayabildiğini gösteriyordu.
İşte bu düşük-teknoloji kullanarak yapılan korsanlık.
Her ne kadar Long salonda en çok kahkahayı teknoloji kullanmayan yaklaşımları ile aldıysa da, göreceli olarak düşük teknoloji kullanan hacking yaklaşımları bu sene güvenlik dünyasında oldukça gündemdeydi. Zamanlama, veya daha doğru bir deyişle bir eylemin oluş zamanını ölçme belki de Internet korsanlığını en basit formudur.
Konferansa katılan birçok kişinin sunumlarında da, zamanlama kullanarak kullanıcıların veya hesapların geçerli olup olmadıklarını anlamanın mümkün olduğunu gördük. Zamanlama eylemleri enjeksiyon tipi saldırılarda da önemli bir rol oynuyor: Sadece zamanlamadaki bir gecikmeyi fark eden bir Internet korsanı, kolaylıkla sömürülmeye müsait bir açık yakalayabilir.
Fuzzing yani karmaşık girdi verme de, konferansta kendisine bütün bir başlık ayrılması ve fuzzing gereçlerini tanıtan sağlayıcılar sayesinde konferansın ana konularından biri olmayı başardı.
Fuzzing aslında bir uygulamaya sadece ne tepki vereceğini görmek için, rahatlıkla “çöp girdi” olarak algılanabilecek otomatik bir betik gönderilmesidir. Bu betikler çok detaylı hazırlanmış kodlar değildir, ancak Black Hat konferansındakilere göre fuzzing’in ortaya çıkardığı sonuçlar inanılmaz ölçüde değerlidir. Örneğin üzerinde çok konuşulan iPhone açığı, açığı bildiren araştırmacıya göre fuzzing ile tespit edilmiştir.
Düşük teknoloji kullanan yaklaşımların neden işe yaradığını açıklayan iyi bir neden var. iSecpartners’ta bir araştırmacı olan Brad Hill XML güvenliği üzerine olan sunumunda karmaşıklığın güvenlik düşmanı olduğunu açıkladı. Bu hem güvenlik çalışanlarının hem de güvenliği aşmaya çalışanların iyice öğrenmesi gereken bir ders.
Internet korsanları için temelde tüm olay önünüzdekinin farkında olmak ve başkalarının fark etmediklerini fark etmektir. Eğer aradığınız şeyin açıkça tam önünüzde olduğunu fark edebilirseniz, görünürde güvenliği sağlayan etmenlerin etrafından çok daha kolay bir biçimde dolaşabilirsiniz.
İşte hem Long’un eğlenceli sunumunda hem de diğer sunumcuların daha teknik yaklaşımlarında verilmek istenen mesaj da buydu. Hem de çok ciddiye alınması gereken bir mesaj.
*- Jedi, Yıldız Savaşları filmlerinde, barışın koruyucuları olarak adlandırılan hayali gruptur. Jedi Tapınağı’nda eğitilip, Güç adı verilen bir metafizik kuvveti kullanmayı öğrenirler.Temel silahları ışın kılıcıdır.
**- Kaptan Morgan ünlü bir rom markasıdır. 17. yüzyılda aynı zamanda korsan olan Kaptan Morgan tarafından kurulmuştur.
Kaynak : 