Exploitler, boyundan büyük işler yapan program(cık)lardır. Uygulamaların hataları incelenerek yazılırlar. Sistemdeki normal yetkilere(sadece belirli işleri yapabilir) sahip kullanıcı bu tür program(cık) ile sistemin tüm kontrolünü eline alabilir yada ağ dışından sistemi devre dışı bırakabilir.
Exploitlerin temel amacı:
- Sistem yönetimini, sistem içinden(local) yada sistem dışından(remote) kontrol altına almak,
- Sistemi, ağ dışından yada sistem içinden devre dışı bırakmak(DoS - /*Denial of Services*/).
Çalışan servis uygulamalarına(http, ftp, pop3, smtp ...) ilişkin açığı istismar eden bir exploit kodu ağ dışından sistemde kullanıcı açabilir. Böylece sisteme giriş yetkisi olmayan bir kullanıcı (iyi niyetli olmadığı kesin) exploit programıyla sisteme erişim sağlar. Sisteme yetkisiz giriş yapan kullanıcı, yönetici (#root#) seviyesine ulaştığında sistemde yapabileceklerine dair çeşitli olasılıklar vardır. Bu olasılıklar arasında bulunanlar;
• sisteme rootkit araçları(en populerleri arasında suckit, superkit, adore-ng, frontkey, r3dstorm yer alır) yüklemek,
• sadece arkakapı (backdoor) oluşturmak,
• ağ paketlerini takip etmek(temel felsefe; daha fazla şifre, daha fazla hakimiyet),
• sistemde bulunan web sayfalarını değiştirmek(en büyük olasılık budur, çünkü sisteme yetkisiz giren kişinin temel isteği *htm*,*php* gibi web sayfalara düşüncesinde sakladığı haykırışı ekler "Hacked by ....").
Sadece uygulamalardaki zafiyeti değerlendiren exploitler dışında, sistemin temel koordinatörü olan kernel(çekirdek) zafiyetini değerlendiren exploitlerde bulunmaktadır. Çok kullanıcılı sistemlerde kullanıcıları yönetmek zor olabilir.
Kullanıcıların yetkilerini kısabilirsiniz, sistemde yaramazlık yapmamaları için uyarabilirsiniz, sisteminizi güvenlik yamalarıyla devamlı yenileyebilirsiniz. Fakat sizin sisteminiz üzerinden başka bir sisteme bağlanıp o sistemi tırmıklama olasılıkları da vardır.
Yani sisteminizi zararlı kodların(bunların başında uygulamaların baş kemiricisi exploitler gelir) bulunduğu bir depo haline getirebilir.
Kimisi bu tür makineleri *nix öğrenmek için, kimisi e-posta için, kimisi web sayfalarını barındırmak için, kimisi ise program depolama merkezi olarak kullanır.
Sistemdeki kullanıcıların, sisteme aktardıkları programları takip etmek işin içinden çıkılmaz hale geldiğinde en büyük cefayı gözler ve beyindeki kıvrımlar çeker.
Exploitler, genellikle bir uygulamadaki açık hakkında bilgi yayınlandıktan sonra bazı kesimler tarafından iyi (test amaçlı) yada kötü amaçla yazılır. Uygulamadaki bu açık ortaya çıktıktan sonra exploit ya güvenlik sitelerinde yayınlanır(public) yada belli bir süre zarfında yayınlanmaz. Bazı kesimler çıkan bu açığa ait exploiti kendileri için yazıp belli amaçları doğrultusunda
kullanma ihtimalide vardır. Exploitler için public ve private kavramı çok kullanılır.
Exploitler hakkında bu kadar açıklama yeter sanırım
Sisteme aktarılan exploitleri takip etme şansı veren uygulamayı tanıtmaya başlayalım.
Bu uygulamanın ismi AntiExploit.
AntiExploit aracının internet adresi:
http://www.h07.org/projects/aexpl/
Bu araç veritabanında kayıtlı olan exploit listesine göre çalışmaktadır. Bunun için uygulamanın veritabanını devamlı olarak güncel tutmak menfaat için yararlıdır.
AntiExploit aracının sorunsuz kurulabilmesi için bazı uygulamaların sisteme kurulmuş olması gerekir.
Kurulum için gerekli olan uygulamalar:
- mailutils (uygulamanın ayar dosyasında belirttiğiniz e-posta'ya rapor gönderebilmesi için gerekli)
- libxml2
- libcurl >= 7.10
Kurulum için sırası ile yazılması gereken ayrılmaz meşhur üçlü komut listesi:
• ./configure
• make
• make install
AntiExploit ön tanımlı olarak ayar dosyasını /usr/local/etc/ dizini altına aexpl.conf isminde , ana uygulamayı /usr/local/bin/ dizini altında aexpl ismi ile kurar. Ayrıca sistemde otomatik olarak AntiExploit çalıştırmak istiyorsanız kurulum sonrası /usr/local/share/AntiExploit/ dizininde oluşturulan rc.aexpl dosyasını kullanabilirsiniz.
Kurulum için yazılması gereken ilk komut: ./configure
AntiExploitin e-postanıza rapor göndermesi için ayar dosyasında gerekli değişikliği yapmanız gerekir.
Bunun için:
/usr/local/etc/ dizini altındaki aexpl.conf dosyasını herhangi bir metin editörü(vi , pico ...) ile açıp:
you( at )somehost.net kısmındaki
you( at )somehost.net yerine e-posta adresinizi yazın.
vKurulum işleminin son aşaması: make install
Sistemde exploit türü dosyaların bulunup bulunmadığını, uygulamanın algılayabilmesi için exploit.db dosyasının /usr/local/share/AntiExploit/ dizinine kopyalanması gerekir.
AntiExploit ayar dosyası: aexpl.conf
Belirli zamanlarda güncellenen bu dosyayı
http://www.h07.org internet adresinde bulabilirsiniz.
Eğer AntiExploit aracının exploit.db dosyasını /usr/local/share/AntiExploit dizini altından okumasını istemiyorsanız ayar dosyasındaki ( aexpl.conf )
... tanımlaması arasına exploit.db dosyasının adını ve bulunduğu dizin ile birlikte yazın.
Uygulamanın kayıt(log) dosyasını inceleyerek çalışma esnasında aksaklık olup olmadığını da görebilirsiniz. Kayıt dosyası /var/log dizini altında bulunan aexpl isimli dosyadır.
Çalışma aksaklığı genellikle AntiExploit dizini içinde bulunan dazuko kernel modülünün sisteme entegre edilmemesinden kaynaklanmaktadır.
Dazuko modülünün entegrasyonu:
• cd dazuko
• ./configure
• make
Dazukonun Kernele (Çekirdek) eklenmesi:
Kernel 2.4 .x için:
#/sbin/insmod dazuko.o
Kernel 2.6.x için:
#/sbin/insmod dazuko.ko
