Creadx
Kayıtlı Üye
- Katılım
- 27 Kasım 2024
- Mesajlar
- 11
- Tepkime puanı
- 0
- Konum
- Samsun
- İlgi Alanlarınız
- Siber Güvenlik Uzmanlığı
- Cinsiyet
-
- Erkek
İyi günler dilerim Hacktivizm ailesi.
Bugün şifre kırma tekniklerini inceleyeceğiz.
UYARI: Bu konu eğitim amaçlıdır. Kötü amaçlı kullanımdan Ben ve Hacktivizm sorumlu değildir!
Konun içerişinde bulunan içerikler.
-----------------------------------------
Salt Nedir?
Hash nedir?
Kişiye özgün wordlist oluşturma?
Brute Force Attack
Brute Force Nasıl İşler?
Brute Force Attack Nasıl Yapılır?
Salt nedir? Hash nedir?
---------------------------
Hash, girilen bir veriyi sabit uzunlukta çıktıya dönüştürmeye yarıyan algoritmanın terim anlamıdır. Bu işlemin amacı bir veriyi olabildiğince gizlemeye yöneliktir. Örnek olarak bir siteye üye olan kişilerin parolaları otomatik olarak hashlenerek dışarıdan gelen bir kişi veritabanına dahi erişim sağlasayabilse şifreleri göremeyecektir.
Salt, bir parolaları hashlemeden önce salt adı verilen rastgele bir metin parolanın başına sonuna veya ortalarına eklenerek bu parolanın hashlenmesini sağlamaktır. Yani bir nevi bir veriyi tuzladığınızı düşünün. Metine ekstradan karakterler ekleyerek olabildiğince okunması zor bir hale getirmektesiniz.
Kişiye özgün wordlist oluşturma.
--------------------------------------
Bir bireye yönelik bir şifre metni çıkartacağımızda kullanacağımız yazılım süphesiz ki CUPP olmalıdır. Muhtemelen ismini bir çok yerde defalarca duymuşsunuzdur diye düşünmekteyim. Ama ben bu yazıyı okuyanların hiç CUPP adında bir yazılımı duymadığını farz ediyorum. O yüzden bir bu yazılım hakkında bilgi sahibi olalım. CUPP adlı yazılım bir kullanıcının bilgilerini kullanarak ona uygun şekilde şifreler oluşturuyor. Oldukça güçlü bir alt yapısı bulunan bu yazılımın geliştiricileri sürekli olarak yazılımı geliştirmeye devam etmekteler.
Simdi ise CUPP nasıl kullanılır onu öğrenelim.
-----------------------------------------------------
İlk başta bu yazılımı kurmak ile başlayalım. Bunun için Git üzerinden buradaki projeyi kopyalamamız gerekiyor.
Kod:
git clone https://github.com/Mebus/cupp.git
Evet simdi Cupp adlı projeyi bilgisayarımıza kopyaladık. Simdi ise ilk başta projenin içerisine giriyoruz.
Kod:
cd cupp
Evet ls yazdığımızda dosyanın içeriğini görebiliyoruz. İlk gördüğümüz şey ise bu programı çalıştırmak için bilgisayarımıza Python'u kurmamız gerektiğidir. Simdi python'u kuralım. Aşağıdaki kodu, uç birime giriyoruz.
Kali Linux için kod: sudo apt-get install python
Arch Linux için kod: sudo pacman -S python
Python'u kurduğumuza göre simdi ise Cupp'ı çalıştıralım. Bunun için ise aşağıdaki kodu uç birime giriyoruz.
Kod:
python cupp.py
Burada birçok parametre görmekteyiz. Bizim burada kullanacağımız parametre -i yani interactive parametresini kullanacağız. Bu parametreyi kullanmak içinde aşağıdaki komutu uç birime giriyoruz.
Kod:
python cupp.py -i
Bundan sonrası sizin kendi hedefinize göre değişiklik göstermektedir. Hedef kişinin bilgilerini buraya yazdığınızda onun adında bir .txt dosyası çıkartıcaktır. Cupp ile wordlist'i bu şekilde oluşturabilirsiniz. Şimdi diğer iç konumuza geçelim.
Brute Force (Kaba Kuvvet Saldırısı) Nedir?
Basit bir saldırı yöntemi olan Brute Force’un başarı oranı yüksektir.
Saldırganlar, güvenlik ihlalleri ya da dark web yoluyla elde edilen sık kullanılan kimlik bilgilerine ve gerçek kullanıcı kimlik bilgilerine dair listelere sahiptir. Botlar sistematik olarak web sitelerine saldırırarak, bu kimlik bilgileri listelerini dener ve erişim sağladıklarında saldırganı bilgilendirir.
Eğer bir kullanıcı tekrar tekrar ve başarısız bir şekilde bir hesaba giriş yapmaya çalışıyor gibi görünüyorsa, büyük olasılıkla kaba kuvvet saldırısı söz konusudur. Aşağıdakiler bunun belirtisi olabilir;
Bazı saldırganlar manuel olarak da Brute Force saldırıları düzenleyebilir ancak son zamanlarda neredeyse tüm kaba kuvvet saldırıları botlar tarafından gerçekleştirilmektedir. Bazı korsanlar, Brute Force araçları olarak uygulamaları ve komut dosyalarını kullanır. Bazıları doğru oturum kimliğini arayarak web uygulamalarına erişmeye çalışır. Brute Force saldırılarının işe yaraması için zamana ihtiyaç vardır. Saldırılar; haftalar hatta aylar sürebilir.
Kaynak: https://www.turhost.com/blog/brute-force-nedir/
Şimdi ise bir Brute Force Tool'unu inceleyelim ve kullanımına bakalım.
BRUTE FORCE ATTACK NASIL YAPILIR?
Toplam 37 kelime oluşturdu simdi Brute Force aracımızı kullanarak bu şifreleri tek tek deneyelim. Tabi bundan önce İnstax adlı aracımızı kurmamız gerekmekte.
İlk başta Github reposundan projeyi bilgisayarımıza kopyalayalım.
Kod:
git clone https://github.com/dhasirar/instax.git
Ardından klasör'ün içerisine giriş yapıyoruz.
Kod: cd instax
İlk gördüğümüz install.sh adlı bir dosya bulunmakta. Bu dosyayı çalıştırmadan önce yetki vermemiz gerekmekte bunun içinde bu kodu uç birime giriyorsunuz.
Kod:
chmod +x install.sh
ls komutunu kullanarak yetki verip vermediğinize bakabilirsiniz.
Gördüğünüz üzere ben gerekli yetkilendirmeyi gerçekleştirdim. Simdi ise ben oluşturduğum wordlist dosyasını bu klasörün içerisine atacağım.
Bugün şifre kırma tekniklerini inceleyeceğiz.
UYARI: Bu konu eğitim amaçlıdır. Kötü amaçlı kullanımdan Ben ve Hacktivizm sorumlu değildir!
Konun içerişinde bulunan içerikler.
-----------------------------------------
Salt Nedir?
Hash nedir?
Kişiye özgün wordlist oluşturma?
Brute Force Attack
Brute Force Nasıl İşler?
Brute Force Attack Nasıl Yapılır?
Salt nedir? Hash nedir?
---------------------------
Hash, girilen bir veriyi sabit uzunlukta çıktıya dönüştürmeye yarıyan algoritmanın terim anlamıdır. Bu işlemin amacı bir veriyi olabildiğince gizlemeye yöneliktir. Örnek olarak bir siteye üye olan kişilerin parolaları otomatik olarak hashlenerek dışarıdan gelen bir kişi veritabanına dahi erişim sağlasayabilse şifreleri göremeyecektir.
Salt, bir parolaları hashlemeden önce salt adı verilen rastgele bir metin parolanın başına sonuna veya ortalarına eklenerek bu parolanın hashlenmesini sağlamaktır. Yani bir nevi bir veriyi tuzladığınızı düşünün. Metine ekstradan karakterler ekleyerek olabildiğince okunması zor bir hale getirmektesiniz.
Kişiye özgün wordlist oluşturma.
--------------------------------------
Bir bireye yönelik bir şifre metni çıkartacağımızda kullanacağımız yazılım süphesiz ki CUPP olmalıdır. Muhtemelen ismini bir çok yerde defalarca duymuşsunuzdur diye düşünmekteyim. Ama ben bu yazıyı okuyanların hiç CUPP adında bir yazılımı duymadığını farz ediyorum. O yüzden bir bu yazılım hakkında bilgi sahibi olalım. CUPP adlı yazılım bir kullanıcının bilgilerini kullanarak ona uygun şekilde şifreler oluşturuyor. Oldukça güçlü bir alt yapısı bulunan bu yazılımın geliştiricileri sürekli olarak yazılımı geliştirmeye devam etmekteler.
Simdi ise CUPP nasıl kullanılır onu öğrenelim.
-----------------------------------------------------
İlk başta bu yazılımı kurmak ile başlayalım. Bunun için Git üzerinden buradaki projeyi kopyalamamız gerekiyor.
Kod:
git clone https://github.com/Mebus/cupp.git
Evet simdi Cupp adlı projeyi bilgisayarımıza kopyaladık. Simdi ise ilk başta projenin içerisine giriyoruz.
Kod:
cd cupp
Evet ls yazdığımızda dosyanın içeriğini görebiliyoruz. İlk gördüğümüz şey ise bu programı çalıştırmak için bilgisayarımıza Python'u kurmamız gerektiğidir. Simdi python'u kuralım. Aşağıdaki kodu, uç birime giriyoruz.
Kali Linux için kod: sudo apt-get install python
Arch Linux için kod: sudo pacman -S python
Python'u kurduğumuza göre simdi ise Cupp'ı çalıştıralım. Bunun için ise aşağıdaki kodu uç birime giriyoruz.
Kod:
python cupp.py
Burada birçok parametre görmekteyiz. Bizim burada kullanacağımız parametre -i yani interactive parametresini kullanacağız. Bu parametreyi kullanmak içinde aşağıdaki komutu uç birime giriyoruz.
Kod:
python cupp.py -i
Bundan sonrası sizin kendi hedefinize göre değişiklik göstermektedir. Hedef kişinin bilgilerini buraya yazdığınızda onun adında bir .txt dosyası çıkartıcaktır. Cupp ile wordlist'i bu şekilde oluşturabilirsiniz. Şimdi diğer iç konumuza geçelim.
Brute Force (Kaba Kuvvet Saldırısı) Nedir?
------------------------------------------------
Brute Force saldırıları; farklı kullanıcı adı ve şifre kombinasyonlarını kullanarak bir tanesinin geçerli olacağı ümidiyle, şifreleri kırmaya çalışır. Amaç; bir yönetici hesabı ya da parola korumalı sayfa gibi kısıtlanmış bir kaynağa erişim sağlamaktır. Saldırgan; bilgileri çalmak ya da sitelere kötü amaçlı yazılım bulaştırmak isteyebilir.
Basit bir saldırı yöntemi olan Brute Force’un başarı oranı yüksektir.
Brute Force Saldırısı Nasıl İşler?
Saldırganlar, güvenlik ihlalleri ya da dark web yoluyla elde edilen sık kullanılan kimlik bilgilerine ve gerçek kullanıcı kimlik bilgilerine dair listelere sahiptir. Botlar sistematik olarak web sitelerine saldırırarak, bu kimlik bilgileri listelerini dener ve erişim sağladıklarında saldırganı bilgilendirir.
Eğer bir kullanıcı tekrar tekrar ve başarısız bir şekilde bir hesaba giriş yapmaya çalışıyor gibi görünüyorsa, büyük olasılıkla kaba kuvvet saldırısı söz konusudur. Aşağıdakiler bunun belirtisi olabilir;
- Aynı IP adresi başarısız bir şekilde birden çok kez oturum açmaya çalışıyordur.
- Birçok farklı IP adresi başarısız bir şekilde tek bir hesapta oturum açmaya çalışıyordur.
- Kısa bir süre içinde çeşitli IP adreslerinden birden fazla başarısız oturum açma denemesi gerçekleştirilmiştir.
Bazı saldırganlar manuel olarak da Brute Force saldırıları düzenleyebilir ancak son zamanlarda neredeyse tüm kaba kuvvet saldırıları botlar tarafından gerçekleştirilmektedir. Bazı korsanlar, Brute Force araçları olarak uygulamaları ve komut dosyalarını kullanır. Bazıları doğru oturum kimliğini arayarak web uygulamalarına erişmeye çalışır. Brute Force saldırılarının işe yaraması için zamana ihtiyaç vardır. Saldırılar; haftalar hatta aylar sürebilir.
Kaynak: https://www.turhost.com/blog/brute-force-nedir/
Şimdi ise bir Brute Force Tool'unu inceleyelim ve kullanımına bakalım.
BRUTE FORCE ATTACK NASIL YAPILIR?
----------------------------------------------
Yukarıda bir user üzerinden wordlist'i nasıl oluşturur onu anlatmıştık hatırlarsanız. Şimdi ise o wordlist'i nasıl kullanacağınızı anlatacağım. Bir Instagram hesabını kaba kuvvet saldırısı (Brute Force Attack) ile ele geçirmeye çalışalım. Ben örnek olması için kendime yeni bir Instagram hesabı açtım. Kolay bir şifre koydum. Şimdi ise Brute Force Attack ile bu hesaba erişim sağlamaya çalışacağım.
Toplam 37 kelime oluşturdu simdi Brute Force aracımızı kullanarak bu şifreleri tek tek deneyelim. Tabi bundan önce İnstax adlı aracımızı kurmamız gerekmekte.İlk başta Github reposundan projeyi bilgisayarımıza kopyalayalım.
Kod:
git clone https://github.com/dhasirar/instax.git
Ardından klasör'ün içerisine giriş yapıyoruz.
Kod: cd instax
İlk gördüğümüz install.sh adlı bir dosya bulunmakta. Bu dosyayı çalıştırmadan önce yetki vermemiz gerekmekte bunun içinde bu kodu uç birime giriyorsunuz.
Kod:
chmod +x install.sh
ls komutunu kullanarak yetki verip vermediğinize bakabilirsiniz.
Gördüğünüz üzere ben gerekli yetkilendirmeyi gerçekleştirdim. Simdi ise ben oluşturduğum wordlist dosyasını bu klasörün içerisine atacağım.
Kod: move /home/user/cupp/wordlistismi.txt /home/user/instax
Not: Yukarıdaki kodu, worldlist ismi neyse ona göre editleyiniz.
Bu aracı kurmadan önce Tor ağını bilgisayarımıza indirmemiz gerekiyor. İndirme kodları aşağıda bulunuyor.
Kali Linux: sudo apt-get install tor
Arch Linux: sudo pacman -S tor
Şimdi ise aracı kuralım.
Kod: sudo bash install.sh
Gördüğünüz gibi gerekli bütün her şeyi kurduğumuza göre artık aracın deneme aşamasına geçebiliriz.
Kod: bash instax.sh
Brute Force Saldırılarından Nasıl Korunabilirsiniz?
- Güçlü parolalar kimlik hırsızlığına, veri kaybına, hesaplara yetkisiz erişime karşı daha iyi koruma sağlar. Şifre uzunluğunu artırmalı, çok sayıda karakter içeren tahmin edilmesi zor şifreler kullanmalısınız. Beş karakterli şifreler birkaç saniye içinde kırılabilir, 10 karakterin kırılması birkaç yıl sürer ve 20 karakterinki neredeyse sonsuza kadar sürer. İnternetten bulunabilecek bilgilerinizin (aile üyelerinin adları, yaşadığınız şehir gibi) şifrelerinizde yer almaması önerilir.
- Şifrenin kırılma zorluğu ve kırılma süresini artırmak için parola karmaşıklığını artırmalısınız. Mümkün olduğunca harfleri, sayıları ve sembolleri birleştirmeye, her kullanıcı hesabı için farklı şifre belirlemeye çalışın ve yaygın kalıplardan kaçının. Periyodik şifre değişiklikleri yapılması da öneriler arasında. Ayrıca şifrenizi unuttuğunuzda yardımcı olması için belirlediğiniz kurtarma sorularınız zayıfsa, şifreniz güçlü olsa bile saldırganların onu tahmin etmek yerine şifrenizi sıfırlaması kolaylaşır.
- Giriş denemelerini sınırlayarak yani başarısız birkaç denemeden sonra kullanıcıları sınırlı bir süre kilitleyerek de devam eden bir Brute Force saldırısını geçersiz kılabilirsiniz. Oturum açma girişimlerini kısıtlamanın yaygın bir yolu, beş başarısız oturum açma girişiminden sonra o IP’nin oturum açmasını geçici olarak yasaklamaktır.
- Captcha, web sitelerinde giriş yapmaya çalışanın bir insan olduğunu doğrulamak için kullanılan yaygın bir sistemdir. Kullanıcıların sistemde oturum açmak için basit görevleri tamamlamasını gerektirir, Brute Force araçlarını engelleyebilir.
- Çok faktörlü kimlik doğrulaması; her oturum açma girişimine insan müdahalesini gerektiren, ikinci bir güvenlik katmanı ekler (Telefonunuza ya da e-posta adresinize gönderilen şifrenin girilmesi gibi). Bu ek katman, bilgilerinize erişen kişilerin ikinci bir kimlik doğrulama aracı olmadan hesabınıza erişmesini önler.
- Brute Force saldırılarını durdurmanın proaktif yolu Active Directory etkinliğini ve VPN trafiğini izlemektir. Yanlış şifre nedeniyle kullanıcı kilitleme davranışlarını izleyen, potansiyel kimlik bilgisi doldurmayı algılayan, saldırı artmadan tespit etmek ve önlemek için tasarlanan uygulamalar bunun için kullanılabilir.
Devam eden bir saldırıyı bir güvenlik duvarı (firewall) ile tespit etmek ve saldırıyı aktif olarak durdurmak, şifrelerinizin kırılamayacağını ummaktan daha iyidir.
Saldırıyı algılayıp durdurduktan sonra, IP adreslerini kara listeye alabilir ve aynı bilgisayardan başka saldırıların yapılmasını önleyebilirsiniz. Bu tip uygulamalar manuel Brute Force saldırılarına karşı da koruma sağlar. Bir kullanıcı bir sisteme tekrar tekrar erişmeye çalıştığında veya bir kalıbı izleyen farklı kimlik bilgilerini art arda denediğinde, uygulama bu anormal etkinliği algılar, kullanıcıyı engeller ve sizi uyarır.
Buradaki maddeleri yaparsanız, Brute Force saldırılarından %99 kurtulursunuz.
Kaynak: https://www.turhost.com/blog/brute-force-nedir/
Konu hakkında olan fikir ve görüşlerinizi yazabilirsiniz. Umarım faydalı olmuştur efendim, iyi günlerde kullanın.
