| Önsöz | Arama | Üyelik | Sohbet | Alış-Veriş | www.netyorum.com   
Ajanda
Seçtiklerimiz
Arşiv
Yazarlar
Yorumlar

Bölümler

Köşe Yazıları
Teknoloji
Sanat
Soru & Cevap
Dostluk & Sevgi
Eğlence
Geçmiş Zaman Olur ki

Konular

Sinema
Müzik
Kitap
Sözler
Oyunlar
Ürünler
Mekan
 
 
Reklam Fiyatları

İzleyici Mesajları

Elektronik posta :
bilgi@netyorum.com
 
 
Bu sayfayı arkadaşınıza göndermek için tıklayın.
 
 
Açılış sayfası yapmak için tıklayın.

Sık kullanılanlar listesine eklemek için tıklayın.
 
Eski Sayıları
20.12.2001 Rahmi Vidinlioğlu - netyorum.com / Sayı: 97

WEBMAIL HACKLEME YÖNTEMLERİ ve
KORUNMA YOLLARI

Uzun süreden beri Hotmail başta olmak üzere tüm webmail servislerinin hesaplarının nasıl ele geçirilebileceği üzerinde çalışıyorum.
Birazdan okuyacağınız yazı sadece insanların ne şekilde webmail servisinize saldırabileceğinizi bilmenizi ve burdan yola çıkarak önlem almanızı kolaylaştırmanızı amaçlamaktadır. Hiç bir şekilde Wanna Be olarak tanımlanmak istemem, sadece bildiklerimi paylaşacağım. Burada bahsedeceğim unsurlar genellikle Türklerin kullandıkları şeylerdir. O yüzden evrensel bir değer taşıyıp taşımadığından da emin olmak mümkün değildir. Şimdi webmailinize ne yollarla saldırabileceklerine değinelim.

Öncelikle ne olursa olsun hiçbir şekilde sizin bile tahmin edemeyeceğiniz bir şifre seçmelisiniz çünkü genellikle tüm webmail hesapları şifre tahmin yöntemiyle kırılmaktadır.

İnsanların genellikle kullandıkları şifre algoritmaları hemen hemen aynıdır. Burada sunacağım şifre oluşturma teknikleri bir çok Hotmail hesabı üzerinde denenmiş şeylerdir. Şunu hatırlatmakta fayda vardır, Hotmail en az 8 karakterli şifreyi zorunlu kılmaktadır.

Denemeniz gereken ilk şey budur.

1) Kişinin doğum tarihi: 8 karakterli şifre zorunluluğu insanları nedense doğum yıllarını iki kere yazmaya yöneltmiştir. Yani 1980 doğumlu bir kişinin hesabına saldırıyorsanız ilk denemeniz gereken şey 19801980 olmalıdır.

2) Bu iş için en sık kullanılan bir diğer yöntem ise adları ve okul numaralarının birleşimdir. Yani Büşra diye bir kızın adresini kırmaya
çalışıyorsunuz diyelim ve kızın okul numarası 687. Burada ikinci olarak deneyeceğiniz şey Busra687 yada 687busra olmalıdır. Bunun da tutma ihtimali çok yüksektir.

3) Diğer iki yöntem işe yaramadıysa denemeniz gereken şey kişinin kendi adıdır. Adı seda olan birinin Hotmail şifresi genelde sedaseda'dır.

4) Aynı mantıkla işleyen fakat biraz daha kamaşık sonuçlara yolaçabilecek bir diğer teknik ise yine "8 karakteri ille doldurmalıyım "
endişesiyle ortaya çıkar. Bu yöntemde kişi, adının tümünü ve soyadının da 8 harfi dolduracak şekilde ilk harflerinden yararlanır. Yani Sedat Aslan isimli birinin şifresi bu yöntemle sedatasl olacaktır. Şifre denemelerinde mutlaka kullanmanız gerekir.

5) Bir diğer yöntem insanların unutmaları mümkün olmayan şeylerdir. Bunların başında ev ve cep telefonu numaraları gelir. İnsanlar böyle bir durumda 7 karakterli olan telefon numarasının başına yada sonuna 0 eklerler. Yani telefon numarası 355 89 74 olan birinin hotmail şifresi pek tabi 35589740 yada 03558974 olabilir.

6) Şifreyi Hotmail'e Sorma: Hotmail ve pek tabii diğer web mail servisleri Amerika tabanlı servisler olduklarından dolayı bize pek yabancı gelebilecek fakat Amerikan halkı için gerekli olan Forgot Password seçeneğini kullanmak zorundadır. Bunun kötüye kullanılmasını engellemeye yönelik olarak size üye olurken bir gizli soru sorulur ve cevabı alınır. Burada kayıt olurken kesinlikle tahmin edilmesi mümkün olmayan şeyler sorulmalıdır. Aksi taktirde mesela Zip kodunu doğru seçerseniz Hotmail direk sizi bu ekrana taşır ve soru karşınızdadır. Burada sorulan sorular ise genellikle "En sevdiğim çiçek?" , "Annemin adı?" ,"Okulumun adı?" gibi
öğrenilmesi basit şeylerdir. Bunlar rahatlıkla öğrenilebilir. O yüzden mutlaka sadece sizin bilebileceğiniz bir şey olmalı! Mesela "Gemiden süzülen martı?" diye bir sorunun cevabının Jonathan olmasını kimsenin tahmin edebileceğini zannetmiyorum. Henüz kitabı okumadıysa :=)))

7) Her yerde aynı şifreyi kullanma: Bir çok kullanıcı web üzerindeki tüm hizmetler için aynı şifre kullanıcı adını kullanır ve bununda diğerleri tarafından bilinmediğini düşünürler. Fakat en basitinden SnitzForums adlı ASP tabanlı Bulletin Board System'den, sizin şifrenizi çalmak çok basittir ve orada üye olurken girdiğiniz email adresinizin şifresi aynıysa saldırgan rahatlıkla mail kutusunuzu ele geçirebilir. Snitz Forums sadece bir örnekti, kısaca her yerde aynı şifreyi kullanmayın.

8) Yukarıdaki yedi madde dikkat ederseniz size "kişisel bilgilerinizi bilebilecek kadar" yakın kişiler tarafından uygulanırlar.

Enteresandır ama insanlar başkalarının mail adreslerine girmekten çok etrafındaki insanların mail adreslerine girmeye heveslidir. Bu ayıp bir şey olmasına rağmen internetin anonim kimliğinden yararlanan arkadaşlarınız, gerçek hayatta cüzdanınızı çalmasalar bile en az bir kez mailinize girmeyi deneyeceklerdir. Bu yüzden sakın "Kim saldırır ki?" diye düşünerek etrafınızdakilerin bilebileceği şeyleri şifre yada gizli soru olarak seçmemelisiniz. İnsanlar internetteki gizliliği fırsat bilerek kendi zayıf yönlerini kapatmak için mail adresinize erişmek isteyebilirler, eski sevgiliniz pek tabii sizin mail trafiğinizi izlemek için can atar ve sizden hoşlanmayan biri mail adresinizi ele geçirip neler yaptığınıza bakmak için fırsat kollar. Bu konuda elinizden geldiğince dikkatli olmak sizin elinizde.

9) Bir de sizi hiç tanımayan biri sizin webmail hesabınıza nasıl ulaşabilir bunu görelim.

Bunun için en çok kullanılan yöntem sizi kandırmaktır. Bu, HTML formatında bir mail ile yapılır. Mailin içinde sadece bir kod vardır ve bu kod refresh komutudur. Sayfa açılır açılmaz sizi başka bir serverdaki sahte hotmail sayfasına yollar, bu sayfada "Please Re-Login" yazar ve sizde hemen karşınzıdaki forma bilgilerinizi girersiniz. Herhalde bir sorun var diye düşünürsünüz, form tabii ki saldırgana sizin mail adresinizi ve şifrenizi gönderdikten sonra sizi tekrar hotmail ana sayfasına yönlendiren bir Common Gateway Interface (CGI) programıdır.

Aynı şey, ASP, PHP v.b. Server Side Scripting Language'lar kullanılarak da yapılabilir.

Tekrar hotmail ana sayfasına geldiğinizde açmış olduğunuz oturum devam ettiği ve log out olmadığınız için kaldığınız yerden devam
edersiniz. Saldırgan ise sizin şifre ve mail adresinizi ele geçirmiştir, sizin ruhunuz bile duymaz.

Saldırgan derhal Outlook express programını açar ve sizin hesabınızı Outlook Express'e tanıtıp sizin ruhunuz bile duymadan aylarca mail trafiğinizi izleyebilir, sizin adınızı önemli yerlere mail gönderebilir v.s.

Burada en tehlikeli şey şudur:

Bu derece scripting yapabilen biri çok kolaylıkla maili çok önemli bir yerden gelmiş gibi gösterebilir. Ya da size yakın birinin mail adresinden gidermiş gibi gösterilebilecek bir form mailing sistemini sadece 9 satır kodla yazabilir ve topu topu 1 dakika sürer.

Bu şu yüzden çok tehlikeli: Size gönderilen mail açılır açılmaz etkisini gösterir ve yakınınızdaki birinden gelmiş gibi gözüken bir maili açmaktan hiç şüphe etmezsiniz.

Burada sizin bilmeniz gereken şey, Logged -Out olabilmeniz için en azından 20 dakika boyunca browserda hiç bir şey yapmamış olmanız gerektiğidir.

1 saniye önce linke tıklayıp maili açtıktan sonra bir sayfaya yönlendiriliyorsanız burada bir sorun var demektir.

Sizin anlamanızı zorlaştırmak için adres çubuğundaki adrese de belli parametreler eklenir ki, en baştaki hotmail.com yazısı
kaybolsun. O yüzden böyle bir durumla karşılaşırsanız, tekrar şifrenizi girmek yerine browserdan geri butonuna basarsanız sizin için en hayırlısı olacaktır.

Çünkü bir çok email adresi bu şekilde ele geçirilmiştir ve dalgınlıkla şifrenizi ve mail adresinizi girdiğiniz form saldırganı çok
memnun edecektir.

Yukarıda bahsedilen şekilde bir mail kırma scripti zannettiğiniz kadar çok çabaya da ihtiyaç duymamaktadır.

Niyeti bozan bir programcı 2 saat uğraşarak böyle bir program yazabilir ve bir daha uzun süre bu programı kullanarak mailleri ele geçirebilir.

10) Ava Giderken Avlanma Yöntemi:

Biliyorsunuz hemen hemen herkes birilerinin hotmail şifresini kırmak için can atar ama acemi Wanna Be 'leri tuzağa düşürmek isteyen bazı "acemi" lamerlar şöyle bir yöntem kullanmaktadır:

"Eğer birinin mail adresini kırmak istiyorsanız secureadmin@hotmail.com adresine kendi kullanıcı adınız ve şifrenizle birlikte kırmak istediğiniz mail adresini de yazın. Bu bir makinadır, kendi şifrenizi yazmazsanız size karşı tarafın mail adresini göndermez v.b." gibi yalanlarla kandırılan gençler bu adrese mail yollarlar. Ve bu mail adresi aslında saldırgana ait bir mail adresidir. Hotmailin kesinlikle böyle bir şifre geri verme sistemi yoktur, olamaz da, çok saçma! Sakın böyle bir tuzağa düşmeyin, düşerseniz de ağlamayın.

11) Brute Forcing:

Tüm denemelerine rağmen hesabınıza giremeyen bir cracker(!) mutlaka bir program denemeyi düşünecektir. Bu program genellikle
wordlist ile çalışan bir programdır ve hotmail yada diğer web mail servislerinde verdiğiniz hesabın şifresini bulmayı dener. Piyasada
rahatlıkla bulunabilecek bir çok program bu işi yapmaktadır. Bu programın çalışma mantığı şu şekildedir:

Browserdan geliyormuşçasına sürekli hotmaile şifre ve kullanıcı adını Post yöntemiyle yollar ve sınırsız deneme şansına sahiptir. Yollanan form sonucunda çıkan sayfada "You Successfully Signed In" v.s. gibi bir string arar, eğer bulursa durur, bulamazsa, giriş yapılamamış demektir, bir sonraki kelimeye ya da rakama geçer.

Eğer sadece harflerden ya da sadece rakamlardan oluşan bir şifreniz varsa rahatlıkla bu tarz bir programla hesabınız "uzun sürse bile" kırılabilir. Fakat alfanümerik karakterler varsa program kafayı dağatacaktır. Niyeti bozan bir programcı böyle bir programı 4-5 saatlik bir uğraş ile yazabilir fakat wordlisti yazması uzun sürer! :=)) Bu yüzden genellikle wordlisti sizin editlemenize izin
verir böyle niyeti bozuk programcılar!

Peki Çözüm Ne?

Çözümü sadece çok zor bir şifre tanımlamak ve her yerde farklı bir şifre kullanmak.

Oluşturacağınız şifreyi sizin bile bilmemeniz en hayırlısıdır. Ama böyle olacaksa bir kenara not edin.

Örneğin; tavsiye ettiğim şifreleme yöntemi şu şekildedir:

Evinizdeki Microsoft Windows CD'sini alın, üstünde bir Serial Number olacak. Onun içinden seçtiğiniz karakterleri rastgele
dizerek en az 12 karakterli bir şifre oluşturun. Örneğin; VG7DM98BR3K9 . (netyorum.com: Bu şifreyi burada gördüğünüz için artık kullanmayacağınızı biliyorsunuzdur umarım). Bunu kırabilecek cracker rahatlıkla HOTMAIL ANA SERVER'ına da erişebilecek güçtedir ve inanın böyle bir cracker genellikle niyeti bozmaz, sizin mail adresinizle uğraşmaz.

Tek çözüm budur arkadaşlar. Başka çözümü yoktur.

Microsoft Windows Cd'si zor geliyorsa bu şekilde şifre üretmenizi sağlayan bir program yazabilirim. İsteyen varsa bana haber verebilir.

Bu uzun yazıyı okuduğunuz için teşekkürler. Umarım bir nebzede olsun yardımcı olabilmişimdir.

Saygılarımla,

Rahmi "MaNiAcCoDeR" Vidinlioğlu
E-posta: admin@geyikology.com 
Web: http://www.geyikology.com 

netyorum.com: Harf ve rakamlar dışında bazı özel karakterlerin de kullanımı şifreler için olasıdır. Bu durumda 12 haneli bir şifrenin çözülebilmesi için Sayın Rahmi Vidinlioğlu'nun belirttiği gibi niyeti bozuk kişinin gerçekten ciddi bilgili birisi olması gerekir.

netyorum.com: (Bu metnin elektronik, basılı veya görsel yayın organlarında tamamen veya kısmen yayınlanması yazarının yazılı iznine tabidir. Aksine davranılmaması önemle rica olunur. Alıntı yapılmadan bu sayfaya link verilmesi için herhangi bir izin gerekmemektedir.)

Yorum Ekle Yorumları Listele
97. Sayı önceki yazı 97. Sayı sonraki yazı
   
Her hakkı saklıdır. All rights reserved. netyorum.com © 2000-2005 İstanbul-Türkiye