CyberFlow Logo CyberFlow BLOG
Mysql Pentest

Parola Kaba Kuvvet ve Püskürtme Saldırıları: Temel Eğitim

✍️ Ahmet BİRKAN 📂 Mysql Pentest

Siber güvenlikte kaba kuvvet ve parola püskürtme saldırılarına dair temel bilgiler edinin.

Parola Kaba Kuvvet ve Püskürtme Saldırıları: Temel Eğitim

Bu blog yazısında, kaba kuvvet ve parola püskürtme saldırılarına dair temel bilgileri, kullanılan teknikleri ve korunma yöntemlerini keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, parolalar kullanıcı kimlik doğrulamanın temel unsurlarındandır. Ancak, bu sistemlerin sağlamlığı artan siber tehditlerin karşısında sürekli olarak test edilmektedir. Parola kaba kuvvet (brute force) ve parola püskürtme (password spraying) saldırıları, bu bağlamda, saldırganların kimlik doğrulama süreçlerini aşmak için sıkça başvurduğu yöntemlerdir. Her iki saldırı türü de, bir sistemin güvenliğini tehdit edebilir ve doğru savunma tekniklerinin geliştirilmesine olan ihtiyaç, bu saldırıların anlaşılmasını ve etkilerini öğrenmeyi zorunlu kılar.

Kaba Kuvvet Saldırısı Nedir?

Kaba kuvvet saldırısı, bir saldırganın bir hesaba erişim sağlamak için deneme yanılma yaparak her türlü olası parolayı denemesi işlemidir. Bu süreç genellikle otomatikleştirilmiş araçlarla gerçekleştirilir ve saldırganın çok sayıda şifreyi art arda denemesi ile yapılır. Saldırganlar, yazılımsal araçlar aracılığıyla belirli bir sürede birçok parolayı test edebilir ve kendilerine zaman kısıtlaması getiren mekanizmalarla karşılaştıklarında, bazı stratejiler geliştirebilirler.

hydra -l root -p password123 mysql://target_ip

Yukarıdaki örnek, Hydra isimli popüler bir siber güvenlik aracı kullanılarak MySQL servisine kaba kuvvet denemesi yapmak için kullanılabilir. Saldırının hedefi belirlenebilir ve potansiyel parolalar test edilebilir. Kaba kuvvet saldırılarında, kullanıcının belirlediği bir şifre politikası veya sisteme entegre edilmiş bir "hesap kilitleme" mekanizması, saldırının başarısını etkileyen önemli faktörlerdir. Hesap kilitleme, belirli sayıda yanlış denemeden sonra hesabın geçici olarak askıya alınmasını sağlayarak saldırılara karşı bir önlem oluşturur.

Parola Püskürtme Saldırısı

Parola püskürtme, çok sayıda kullanıcının aynı temel şifreyi denemek için hedef alındığı bir saldırı türüdür. Bu yöntem, kullanıcıların yaygın şifreleri tercih etmesi durumunda başarılı olma ihtimali yüksektir çünkü saldırganlar minimum sayıda parolayı, birçok farklı hesaba karşı denerler. Böylece, dikkat çekmeden ve "kurban"ların şifrelerini açığa çıkartmadan saldırılarını gerçekleştirebilirler.

Kaba kuvvet ve parola püskürtme saldırılarının etkili olabilmesi için, saldırganların sistemin yanıtlarını iyi analiz etmesi gereklidir. MySQL sunucusu gibi veritabanı sistemlerinde, erişim başarısızlıklarını belirten hata kodları ve yapılan süreçlerin sonuçları, saldırganlara stratejik bilgiler sunar.

ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)

Yukarıdaki hata kodu, kullanıcı veritabanına doğru parolayı girmediğinde alınan bir uyarıdır. Saldırganlar bu tür kodları izleyerek, sistemin tepkilerini analiz edebilir ve başarılı bir giriş sağlamak için stratejilerini uyarlayabilirler.

Savunma Yöntemleri

Kaba kuvvet ve parola püskürtme saldırılarına karşı etkili savunma yöntemleri geliştirmek, siber güvenlik uzmanlarının en büyük sorumluluklarından biridir. Aşağıdaki yöntemler, bu tür saldırılara karşı korunmada etkili olabilir:

  • MFA / 2FA (Çok Faktörlü Kimlik Doğrulama): Parolanın yeterli olmayacağı durumlarda ikinci bir doğrulama katmanı ekleyerek kullanıcı erişimini korur.
  • Hesap Kilitleme: Belirli bir yanlış giriş sayısında kullanıcı hesabını geçici olarak dondurarak saldırganın sürekli deneme yapabilmesini engeller.
  • Fail2Ban: Hatalı giriş yapan IP adreslerini otomatik olarak engelleyerek, sistemin maruz kaldığı saldırılara karşı bir güvenlik duvarı oluşturur.

Parola güvenliği, siber güvenlik açısından kritik bir konu olmakla birlikte, kullanıcıların bu yöntemleri ve saldırı türlerini anlaması, siber savunma stratejilerinin geliştirilmesinde hayati öneme sahiptir. CyberFlow olarak, bu saldırı türlerinin teknik detaylarını incelemeye devam edeceğiz. Okuyucular, siber tehditlerin doğası hakkında daha fazla bilgi edinerek, ağlarını koruma konusunda daha etkili adımlar atabilirler.

Teknik Analiz ve Uygulama

Hedef Port Tespiti

Bir siber güvenlik değerlendirmesine başlamadan önce, hedef sistemin hangi portlarının açık olduğunu bilmeli ve bu portlar üzerinde hangi hizmetlerin çalıştığını tespit etmeliyiz. MySQL veritabanı genellikle 3306 numaralı portta çalışmaktadır. Bu portun açık olup olmadığını kontrol etmek için nmap gibi bir ağ tarayıcıdan faydalanabiliriz. Aşağıda bu işlemin nasıl yapılacağını gösteren bir örnek bulunmaktadır:

nmap -p 3306 <hedef_ip>

Bu komut, belirtilen hedef IP adresi üzerinde 3306 numaralı portun açık olup olmadığını kontrol eder. Eğer port açık ise, veritabanı hizmetinin çalıştığı sonucuna varabiliriz.

Brute Force vs. Spraying

Kaba kuvvet saldırıları (brute force) ve parola püskürtme saldırıları (password spraying) birbirinden farklı yöntemlerdir ve her ikisi de potansiyel olarak aynı hedefe ulaşmayı amaçlar. Kaba kuvvet saldırısında, bir hesaba karşı binlerce parola denemesi yapılır. Bu tür saldırılar, hesabın kilitlenme riski taşıdığı için genellikle daha dikkatli bir şekilde uygulanmalıdır. Aşağıdaki tablo, bu iki saldırı türünün karakteristik özelliklerini özetlemektedir:

Saldırı Türü Tanım
Brute Force Tek bir hesaba karşı çok sayıda parola denemesi; lockout riski yüksektir.
Password Spraying Birçok hesaba karşı tek bir yaygın parola denemesi; fark edilmesi zordur.

Tanım: Dictionary Attack

Sosyal mühendislik yöntemleri ile hedef kullanıcıların tahmin edilen parolalarını kullanarak giriş denemeleri yapılabilir. Bu tür saldırılar, saldırganın önceden belirlenmiş bir kelime listesi (wordlist) kullanarak parolaları denemesi ile gerçekleştirilir. Bu tür bir yöntem "Dictionary Attack" olarak adlandırılmaktadır.

Hydra ile Brute Force

Hydra, çeşitli protokolleri destekleyen güçlü bir kaba kuvvet aracı olarak bilinir ve MySQL sunucuları üzerinde hızlı denemeler yapma yeteneğine sahiptir. Aşağıda, Hydra ile kök kullanıcıya yönelik bir kaba kuvvet saldırısı başlatmaya yönelik örnek bir komut verilmiştir:

hydra -l root -P <kelime_listesi.txt> <hedef_ip> mysql

Bu komut, belirli bir kelime listesi kullanarak root kullanıcısının parolasını bulmaya çalışmaktadır.

Kimlik Doğrulama Hata Kodları

MySQL sunucusunun, yapılan giriş denemelerine yanıt olarak vermiş olduğu hata kodları, parolanın durumunu belirlemede kritik öneme sahiptir. Örneğin:

  • ERROR 1045: Erişim reddedildi; kullanıcı var ancak parola yanlış ya da yetkisiz.
  • Connection Timed Out: Servis meşgul veya IP adresiniz firewall tarafından engellendi.
  • Access Granted: Doğru siber anahtarı buldunuz ve giriş yaptınız.

Bu yanıtlar, saldırganların hangi denemelerin başarılı olduğunu ve hangi denemelerin başarısız olduğunu anlamalarına yardımcı olur.

Teknik Terim: Account Lockout

Bir hesabın belirli bir sayıda hatalı giriş denemesinden sonra otomatik olarak geçici bir süre dondurulması işlemi "Account Lockout" olarak adlandırılır. Bu güvenlik önlemi, kaba kuvvet saldırılarını önemli ölçüde zorlaştırabilir, ancak her zaman yeterli değildir.

Medusa ile Paralel Deneme

Medusa, paralel kullanım için tasarlanmış bir kaba kuvvet aracıdır ve MySQL gibi hizmetlere hızlı bir şekilde sızma girişimlerinde bulunmak için etkili bir yöntem sunar. Aşağıda Medusa ile hedef IP'yi belirleyen bir komut örneği verilmiştir:

medusa -h <hedef_ip> -u root -P <kelime_listesi.txt> -M mysql

Veri Sızıntısı ve Post-Exploitation

Başarılı bir giriş yapıldıktan sonra, veritabanında bulunan hassas verilerin gizliliğini anlamak için ilk adımlar atılır. Örneğin, aşağıdaki SQL komutları, bir veritabanındaki kullanıcı hesaplarını ve erişim noktalarını sızdırmak için kullanılabilir:

SHOW DATABASES;
SELECT Host, User FROM mysql.user;

Kritik Kavram: Entropi

Bir parolanın karmaşıklığı ve kaba kuvvet saldırılarına karşı direncini ifade eden matematiksel bir değer olan "entropi", güvenli parolaların oluşturulmasında kritik öneme sahiptir. Düşük entropiye sahip bir parola, kaba kuvvet saldırılarına karşı daha savunmasızdır.

Metasploit Login Modülü

Metasploit, MySQL sunucuları üzerindeki girişleri otomatik test etmek için etkili bir araçtır. Giriş modülünü kullanmak için aşağıdaki komut uygulanabilir:

use scanner/mysql/mysql_login

Savunma ve Engelleme

Son olarak, kaba kuvvet saldırılarını engellemek için bir dizi teknik önlem alınmalıdır. Bunlar arasında iki faktörlü kimlik doğrulama (2FA), hatalı giriş denemelerinin sayısını sınırlayan mekanizmalar ve log izleme yazılımları (örneğin Fail2Ban) yer alır. Bu önlemler, siber güvenlik altyapısını güçlendirir ve verilere erişimi daha güvenli hale getirir.

Nihai Hedef: Confidentiality

Sonuç olarak, kaba kuvvet ve püskürtme saldırıları, verilerin gizliliğini (confidentiality) ihlal etme potansiyeline sahip ciddi tehditlerdir. Bu nedenle, güvenlik önlemlerinin dikkatli bir şekilde uygulanması, hem kullanıcı hem de sistem verilerinin güvenliğini sağlamak açısından hayati öneme sahiptir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlikte, sızma testleri sırasında elde edilen bulguların analizi, sistemlerin güvenliğini sağlamak ve zafiyetleri gidermek açısından kritik bir adımdır. Parola kaba kuvveti ve püskürtme saldırıları gibi tehditler, genellikle birkaç temel zafiyetin varlığına dayanır. Bu bölümü, bu tür saldırıların doğası, potansiyel etkileri ve alınması gereken güvenlik önlemleri üzerinden inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Saldırganlar, genellikle çeşitli araçlar kullanarak hedef sistemlerde parola denemeleri yapar. Örneğin, Hydra veya Medusa gibi araçlar, şifrelerin kaba kuvvet yoluyla kırılması için kullanılır. Bu araçların yürüttüğü testlerde, kullanılan parolanın karmaşıklığı ve uzunluğu, saldırının başarılı olma ihtimalini doğrudan etkiler. Kaba kuvvet saldırılarında genellikle çok sayıda deneme yapılır ve bir hesap sonunda dondurulabilir; işte bu noktada "account lockout" kavramı devreye girer.

Elde edilen bulgular arasında, "ERROR 1045" gibi hata kodları, saldırganın erişim sağlamaya çalıştığı ancak formların yanlış olduğu durumları gösterir. Bu tür hata mesajları, güvenlik profesyonellerine tehdit aktörlerinin ne tür saldırılar gerçekleştirdiği hakkında bilgi sağlar. Ayrıca, "Connection Timed Out" gibi mesajlar, belirli IP adreslerinin firewall kuralları tarafından engellendiğini gösterir ve bu, sistemin güvenlik önlemlerinin işe yaradığını ifade eder.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, saldırganlar için kapı aralamaktadır. Örneğin, MySQL 3306 portunun açık olması ve internetten erişilebilir konumda bulunması, kötü niyetli bir saldırganın kaba kuvvet saldırılarını hızlandırabilir. Elde edilen veriler, yanlış yapılandırmaların veya zafiyetlerin varlığını gösteriyorsa, bu ciddi bir risk unsuru olarak ele alınmalıdır.

Veri sızıntıları, büyük endişe yaratan bir başka unsurdur. Bir hesap başarılı bir şekilde hacklendiğinde, genellikle diğer sistemlerde aynı kimlik bilgileri kullanılarak erişim sağlanabilir. Bu durum, "Credential Stuffing" olarak adlandırılır ve bir saldırgana önemli veritabanlarına hızlı bir erişim imkanı sunar. Bu nedenle, şifrelerin benzersiz ve karmaşık olması gerektiği unutulmamalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Siber tehditlerin önlenmesi açısından, bir dizi proaktif önlem almalıdır. Öncelikle, sistemlerin güncel olduğundan emin olmak için düzenli güncellemeler yapılmalıdır. Ayrıca, aşağıdaki önlemler de göz önünde bulundurulmalıdır:

  1. Parola Politikasının Gözden Geçirilmesi: Kullanıcıların güçlü parolalar oluşturmasını sağlamak, kaba kuvvet saldırılarına karşı direnci artıracaktır. Örneğin, parola uzunluğunu en az 12 karakter olarak belirlemek ve özel karakterler içermesini sağlamak önemlidir.

  2. Hesap Kilitleme Mekanizması: Yanlış giriş denemeleri sonrası otomatik hesap kilitleme özelliği, temel bir savunma mekanizması olarak uygulanmalıdır. Bu, saldırganların hesapları kırma denemelerini zorlaştırır.

  3. İki Faktörlü Kimlik Doğrulama (2FA): Sadece parolalarla değil, aynı zamanda ikinci bir katman ekleyerek güvenliği artırmak gereklidir. Örneğin, SMS veya bir kimlik doğrulama uygulaması ile yapılan ikinci doğrulama, saldırganların erişimini engelleyebilir.

  4. Güvenlik Duvarları ve İzleme Sistemleri: İzleme araçları ile gerçekleştirilen anormal aktivitelerin belirlenmesi, saldırıların erkenden tespit edilmesine yardımcı olur. Fail2Ban gibi otomatik engelleme sistemleri, hatalı giriş denemelerini tespit edip otomatik olarak IP'leri engelleyebilir.

  5. Veritabanı Güvenliği: MySQL gibi veritabanlarının sadece belirli IP'lere açılması ve kullanıcıların sadece gerekli izinlere sahip olması sağlanmalıdır.

Sonuç Özeti

Siber güvenlik aygıtlarının korunmasında, kaba kuvvet ve püskürtme saldırılarına karşı alınacak önlemler kritik bir öneme sahiptir. Parola karmaşıklığı, hesap kilitleme mekanizmaları ve çok faktörlü doğrulama, bu tehditlerin etkisini azaltmada etkili stratejilerdir. Elde edilen bulguların doğru bir şekilde yorumlanması, güvenlik açıklarının kapatılması ve sistemlerin güvenliğinin sağlanması açısından büyük önem taşımaktadır. Bu bağlamda, sürekli güncellemelerle birlikte siber güvenlik önlemlerinin aktif hale getirilmesi, olası saldırılara karşı en etkili savunmayı oluşturacaktır.