Siber güvenlik fiziksel güvenlikle başlar. Örneğin sunucularınızın ve ağ cihazlarınızın olduğu bir kabinet var ve bu kabinetin kilidi anahtar paspasın altında misali üstte duruyor. Kilidin üzerinde duranları da görmedim değil. Ya da duvarlarda bir sürü kullanılmayan keystone jack priz var ve bunların bağlı olduğu switch portları açık şekilde duruyor. Adam gelsin kabinetin kapağını açıp kabloyu taksın ağa girsin ya da açık keystone jacklardan birine kabloyu taksın ağa girsin. Cisco bize ne der? Kullanmadığın portları kapat hatta bir black hole VLAN’e ata.
Sızma testleri kara kutu, beyaz kutu ve gri kutu şeklinde yapılıyor. Gerçek dünyaya en uygun olanı kara kutu yöntemi. Tamam temizlikçi kılığıyla şirkete girip ağa fiziksel erişim elde edilebilir ama çoğunlukla siber korsanlar oturdukları yerden şirketleri hackler. İşini iyi yapanları tenzih ederim fakat bugün baktığımızda çoğu firma beyaz kutu yöntemiyle test yapıyor. Geliyor pentester arkadaş. Bana kablo ver bana VLAN ver, bana IP ver, güvenlik duvarında şu kuralları kapat filan. Öyle sızma testini dedem de yapar diyesi geliyor insanın.
İşte kapatılması unutulmuş bir ağ jakının (data prizi) kara kutu yöntemiyle sızma testi isteyen bir firmanın başına ne işler açtığını Kevin Mitnick’in Sızma Sanatı isimli kitabındaki bir örnekle görelim.
“Birinci gün Dustin Biotech’in lobisine girdi güvenlik istasyonunun hemen sağında ziyaretçilere açık olan bir tuvalet ve şirket kafeteryası vardı. Güvenlik istasyonunun diğer yanında da Dustin’in ekibinin Biotech yöneticileriyle ilk toplantılarını yaptıkları konferans odası vardı. Güvenlik görevlisi güvenlikli girişlere ilk erişimi izlemek için tam merkezde konumlanmıştı ama konferans odası tamamen görüş açısının dışında kalıyordu. İsteyen herhangi biri hiçbir soruya maruz kalmadan içeri girebilirdi. Dustin ile ekip arkadaşı da tam böyle yaptılar böylece etrafa rahat rahat bakmak için bir sürü zamanları oldu buna rağmen kimse orada olduklarını anlamadı .
Aktif halde bulunan bir ağ jakı keşfettiler Muhtemelen toplantılar sırasında kurumsal ağa bağlanmak isteyen şirket çalışanlarının rahatı için düşünülmüştü. Kendi bilgisayarından çıkan ethernet kablosunu duvardaki takan Dustin umduğunu çabucak bulmuştu. Şirketin güvenlik duvarının gerisinden ağa erişim sağlamıştı ve bu şirket sistemine girmek için açık bir davetti. Arka planda Görevimiz Tehlike’nin müziğinin çalması gerekirmiş gibi görünen ortamda Dustin duvara küçük kablosuz bir erişim cihazı (WAP)sabitledi ve jaka soktu. Bu cihaz Dustin’in adamlarının şirket binasının dışındaki arabalarından veya minibüslerinden bilgisayarlarıyla Biotech alana sızlamalarına imkan sağlayacaktı. Bu tipte bir kablosuz erişim noktası cihazından gönderilen iletiler 90 metre mesafeye kadar ulaşabilirdi. Yüksek çekişli yöneltici anten kullanılırsa gizlenmiş WAP’a daha uzak mesafelerden bile bağlanmak mümkün olabilirdi.
Dustin Avrupa kanalları üzerinden çalışan kablosuz birimleri tercih ediyordu, frekanslarının tespit edilme olasılığı çok daha düşük olduğu için ekibine de açık avantaj sağlıyordu. Ayrıca bu aletler kablosuz erişim dağıtıcısı gibi görünmüyordu. Böylece insanların dikkatini çekmiyordu bir ay kadar fark edilmeden ve yerinden çıkarılmadan durdular diye ekliyor Dustin. Cihazları taktığı zaman bir de üzerlerine bilgi güvenlik hizmetlerinin malıdır sökmeyiniz yazan küçük ama son derece resmi görünüşlü bir kart da koyuyordum.
Sıcaklıklar 7 derecenin altında gezindiği için artık Biotech görüntüsüne uyum sağlayarak kot ve tişört giyen Dustin ekip arkadaşları park yerinde bekleyen aracın içinde oturarak kıçlarının donmasını istemiyorlardı. Bu yüzden Biotech’in onlara komşu binadaki güvenliksiz bölgede küçük bir oda tahsis etmesine çok memnun oldular. Odanın hiçbir özelliği yoktu ama sıcaktı ve kablosuz cihazın kapsama alanındaydı. Bağlanabiliyorlardı hatta şirketin geneline göre biraz daha hızlı bir bağlantı kuruyorlardı.
Ekip Biotech ağını incelemeye başladığında ilk deneme keşiflerinde parolası olmayan veya parola şeklinde yani password şeklinde parolası olan yönetici hesabına sahip Windows işletim sistemi kullanan Yaklaşık 40 cihaz tespit ettiler. Başka bir deyişle daha önceki öykülerde de bahsettiğimiz gibi ne yazık ki kötü adamları dışarıda tutmak için çevredeki güvenlik kontrollerine odaklanan ama içerideki ana makineleri saldırıya karşı savunmasız bırakan şirketlerin kurumsal ağlarının güvenli tarafında genellikle olduğu gibi neredeyse hiçbir güvenlik önlemi yoktu güvenlik duvarına sızmanın atlatmanın yolu bulan bir saldırgan işi bitirmiş demekti. Bu cihazlardan birine sızan Dustin kullanıcılar için parol anahtarını (hash) çözdü ve bu dosyayı L0phtCrack programı ile çalıştırdı.”