Heyecana gerek yok! Google’ı hacklemeye çalışmayacağız 🙂 Siber saldırıların öncelikle bir hazırlık evresi olur. Saldırgan, hedef sistem hakkında manuel, otomatik veya sosyal mühendislik yöntemleri ile bilgi toplar. Google Hacking, manuel de yapılabilen ancak bazı toollar ile otomatik hale getirilmiş bilgi toplama yöntemlerinden biridir. Bu yöntemin temelinde, hedef sistem hakkında bilgi elde etmek için arama motorlarının efektif kullanılması vardır. Arama motorları, sık sık siteleri ziyaret ederek, içeriği indeksleyip kaydettikleri için muazzam bir bilgi havuzu konumundadır. Google Hacking için geliştirilmiş toollar, sistemler hakkında bilgi verdiği tespit edilmiş durumları(Hata mesajları, e-mailler, header bilgileri vs.) Google bilgi havuzunda tarayarak, hedef sistem hakkında bilgi toplamaktadır. Şimdi, Google’ın sunduğu bu bilgi havuzunu kullanalım.

Google’da bir arama gerçekleştirdiğimizde işimize yaramayacak bir çok sonuç da listelenmektedir. Bu durumda, arama kriterleri ile arama scope’unu daraltmamız gerekecektir. Google, “sadece X sitesinin içeriğinde ara” veya “X sitesinin içeriğinde, sadece Word dosyalarını ara” gibi arama işlemine kriterler koymamıza imkan tanımaktadır. Aşağıdaki linkten Google operatörleri hakkında bilgi edinebilirsiniz:

https://support.google.com/websearch/answer/2466433?hl=en&rd=1

Örnek olarak, Google’da arama kutucuğuna “site:tubitak.gov.tr” yazarak Tübitak’ın bütün içeriğini listeleyebiliriz. Ya da “site:tubitak.gov.tr  CV” yazarak Tübitak domaininde CV ile ilgili her şeyi listeleyebiliriz. Başka bir örnek “site:tubitak.gov.tr  filetype:pdf  CV” ile CV ile ilgili bütün pdf dosyalarını listeleyebiliriz. Aşağıda kullanabileceğimiz operatörler listelenmektedir:

Google Advanced Search arayüzünden de bu işlemleri gerçekleştirebiliriz:

http://www.google.ca/advanced_search

Google Hacking toolları, sistemler hakkında bilgi verecek, arama senaryoları querylerinin listesini tutarak, hedef domain için otomatik olarak tarama yapıyorlar. Böylece hedef domain hakkında işe yarayacak bir çok bilgi elde edebiliriz. Örnek olarak basit bir kullanım arayüzü olan Foundstone SiteDigger tooluna bakalım:

Sol tarafta FSDB, Foundstone’un kendi oluşturduğu arama kriterleri veritabanı, GHDB ise Google Hacking veritabanıdır. Bu veritabanları, SiteDigger‘ın kurulduğu klasörde yer alan fsdb ve ghdb isimli iki XML dosyasıdır. Soldaki arama kurallarına göre, girilen domain için queryler oluşturularak Google’da derinlemesine arama yapılıyor. Senaryolara uyan arama sonuçları listeleniyor. Arama sonuçlarında ilgili linki seçtiğinizde, sağdaki kutucukta açıklaması yer alır. Linki çift tıkladığınızda ilgili sayfa açılır. Buradan, “listelenen her şey önemlidir, hacking için kullanılır” anlaşılmasın. Saldırganlar, hedef seçtikleri sistemler hakkında, birçok gereksiz bilginin arasından işine yarayacakları buluyor, yorumluyor ve bunları nasıl kullanabileceğini planlıyor. Örnek olarak, TÜBİTAK taramamız sonucunda, Bilkent Üniversitesinden bir profesörün CV’sine ulaşıyoruz.

Linki tıklayıp CV’yi indiriyoruz. Sonra dosyaya sağ tıklayıp özelliklerine bakıyoruz.

Google’dan Şefik Süzer’in Bilkent Üniversitesi Kimya Bölüm Başkanı olduğunu ve Emine Yiğit’in de Kimya bölümünde Yönetici Asistanı olduğunu öğreniyoruz. Ayşen Özgentaş da, TÜBİTAK Basın birimi çalışanı. Belge, 2005 yılında Office 2003’te hazırlanmış. Muhtemelen Windows XP işletim sistemi kullanılıyor. Sosyal medyadan, haklarında daha fazla bilgi edinilerek, iletişim bilgileri açık olan bu kişiler üzerinden sosyal mühendislik ile neler yapılabilir, becerinize kalmış 🙂

Bir başka Google Hacking toolu Google Hacks’e bakalım. Basit bir arayüzü olan Google Hacks, arama seçeneklerine göre query build edip, Google’da arama yapıyor.

Örnek olarak, FrontPage şifre açığını(/_vti_bin/service.pwd )  seçip, Search butonuna tıkladığımda, browserda aşağıdaki şekilde Google’ı açacaktır:

Google bilgi havuzunda, içerikte  “# -FrontPage-” textini ve URL’de “service.pwd” textini arıyor. Böylece bilinen “/_vti_bin/service.pwd FrontPage açığına sahip siteler bulunuyor. Kullanıcı adı ve şifre elimizde. Şifre DES algoritması ile şifrelenmiş. Brute Force ile şifre kırıldığında, Front Page’de siteyi açıp, istediğimiz gibi içeriğine müdahele edebiliriz.

Google Hacking’de görebildiğim en kapsamlı tool, Search Diggity. String veritabanı oldukça geniş. Ancak çalışmasında sorun var. Google, flood salıdırılarına karşı korumalı. Search Diggity’nin taramalarını bot olarak algılıyor. Search Diggity, bot olarak algılandığında tedbir olarak 15 dakika bekliyor. Bot olarak algılanmaktan kurtulmak için proxy kullanılması veya Google Search Engine oluşturarak GSE Key ile arama yapılması tavsiye edilmiş. Ancak GSE Key ile arama yapılsa da yine bot olarak algılanıyor ve tarama durduruluyor. Buna rağmen güzel bilgiler buluyor. Örnek olarak, PortScan kullanalım. Hedef domain’in, indexlenen URL’leri içerisinde port numarası taranıyor. İçerisinde port numarası barındıran URL’leri bize  dönüyor. “tubitak.gov.tr” için aşağıdaki portlar döndü:

Portal olarak Jira kullanıyorlar. 8083 portu üzerinden TÜBİTAK portalinin login ekranlarına ulaşabiliyoruz. 8080 portundan açık bir uygulamadan(http://msrv2.tug.tubitak.gov.tr) bir takım raporlara erişilebiliyor.

Burada gördüğünüz daha dün güncellenmiş teleskop gözlem raporu. Bilgisayarı resetleyince sistem normale dönmüş ise büyük ihtimal Windows üzerindedir 🙂 İşin şakası bir tarafa, aşağıdaki linkten T100 teleskopu ile kimler neler yapmış hepsi dışarıya açık bir şekilde raporlanmış. Aşağıda detayları mevcut:

http://msrv2.tug.tubitak.gov.tr/gozlemoku_t100_with_activity.php

Türkiye Ulusal Gözlemevi sitesi (http://tug.tug.tubitak.gov.tr/index.php) üzerinden teleskoplar ile ilgili bir takım bilgiler elde etmek mümkün. Ancak yukarıdaki gibi kurum içini ilgilendiren raporların dışarıya açık unutulmuş olması ve kurum içerisinde bilgi güvenliği diye bir politikanın olmaması, Türkiye’de bilimin bulunduğu noktayı göstermesi açısından üzüntü verici.

Aşağıdaki linkten de, 3 teleskopun gözlem sonuçlarına ulaşmak mümkün:

http://msrv2.tug.tubitak.gov.tr/

Bu raporlama sayfasından eğer yetkisiz bir erişim yapıyorsanız, verilen hata mesajı size sistem bilgisini açık açık veriyor:

Fedora’da, Apache üzerinde koşan bir PHP uygulaması.

Search Diggitiy, PortScan ile bize SSL(443) portu üzerinden bir link daha bulmuş. HTTPS üzerinden SSL bağlantısı ile gitmek yerine HTTP üzerinden 443 portuna bağlanmayı denediğinizde aşağıdaki hata mesajını veriyor:

Yine bütün sistem bilgisi elimizde. Burada, URL’de port bilgisinin kullanılmasından dolayı bütün bu açıkları elde ettik. Bu bilgileri Search Diggity gibi bir tool olmadan, doğrudan Google üzerinden arama yaparak da elde edebilirdik. Örnek olarak, yukarıdaki hatayı yakalamak için Google’da “site:tubitak.gov.tr Bad Request” arattığımızda, Google bu sayfayı indexlediği için bize dönecektir:

Google Hacking, kısaca, hedef sistemler hakkında bilgi toplamak için hedef sistem hakkında bilgi verdiği tespit edilmiş durumların arama motorlarında, hedef sistem için taranmasıdır. Görüldüğü gibi arama motorları o kadar da masum değilmiş 🙂

Arama motorları üzerinden keşif yapılabilme durumu, Owasp v4 kontrol listesinde OTG-INFO-001 koduyla yer almaktadır.

Google Hacking’den bağımsız olarak nmap ile siteye baktığımda şok olacak bir durum ile karşılaştım. SSH ve veritabanı dışarıdan erişime açık. Başka bir yer olsa “olabilir” diyip geçer insan ama TÜ-Bİ-TAK!

Güvenlik üzerine devam.

Reklamlar