Her türlü şifreyi insan mantığını aşarak kırma yolları
Bir siteyi, maili yada başka şifre isteyen bir yeri kırmak istediğimizde aklımıza sınırlı sayıda çare gelir. Bunlardan biride Dictionary (sözlük) Attack dediğimiz yöntemdir.
Bu yöntemle sırayla önceden şeçilmiş bazı şifreler sistemde denenir ve şifre aşılmaya çalışılır.
Şimdi diyelim ki 17 (21-05-1990) yaşında olan melis adında birinin Hotmailini kıracağız. Bu şahsı az buçuk tanıyoruz. Mesela aynı apartmanda oturuyoruz, ne kadar bu işlerden çaktığınıda biliyorsunuz. O zaman başalyalım. Bu kızın soyadı Taş olsun yani Melis Taş. Cep telefonuda 0 535 *** ** ** olsun.
Bu kızın en basitinden şifresini bir 1990 koymak ister sonra olamdı der 19901990 koymak ister o da olmadı 2105984 koymak ister. Bunlarla doğum tarihine göre kombinasyonlar yapabiliriz. Daha çok seçenek var. Bu kızın şifresi 0535 *** ** ** olabilir. Yada *** ** ** olabilir.
Şifre TaşMelis olabilir MelisTaş olabilir, kedisinin adı pamuk olsun, pamukmelis olabilir. melsipamuk olabilir. yada arsenal li olsun olsun o zaman arsenal1990 olabilir. melisarsenal olabilir. melisarsenalpamuk olabilir. Yada ev telefonuda olabilir.
Diyelim ki gizli sorusunu bulucaz. Soru yanlızca “kola” diye bir kelime. O zaman onun cevabı yukardakinin aynısı yani “kola” olabilir. Yada sanane, bilmiyorum gibi sözcükler olabilir.
Yada şifre yedi tane 7 , üç tane 3 de olabilir. 54321 olabileceği gibi 123456789 da olabilir. 0000 da olabilir 9876543210 da olabilir.
Oturduğu apartman, şehir, sokak isimleride kullanılır. Annesinin kızlık soyadı. Yada okul numarası. Sonuçta kişi unutmamak için herkesin bildiği ve kullanılan bazı numaralardan ve isimlerden bir kombinasyon yapmak isteycektir. Bizim burda yapmamaız gereken burda bu kişiye göre yapılabilecek kombinasyonları tahmin edip bir sözlük hazırla*****. Dict. attack yapmak olacaktır. Baya uzun süren bir iş olabilir ama bu tarz şifreler kullanan biriyse kesin düşer tuzağa.
Yada rakamlardan 98745632210 olabilir. Bu sizin düşünce kabiliyetinize bağlı daha çok üretebilirsiniz.
Bu tarz klavye oyunlarıyla hazırlanmış, ayrıca kişiye özel olarakta hazırlanmış bir sözlüğün; sanıyorum ki başakalarının şifrelerini bulmakta büyük yararı olur, ki oluyor zaten.
Bazen şahıslar en sevdikleri hayvanı, eşyayı, şarkıcıyı, futbolcuyu falanda yazarlar.
Demek ki şahsi olan biligilere ve klavye oyunlarına dikkat etmemiz gerekiyormuş. Önemli olan kişi için kolay hatırlanabilecek bir şey yazmak. Herkes şifrelerini bu mantıkla bulur. Eminimki bu yazıyı okuyanlardan, yani sizlerden birileri de burda kendi şifresinin formülünüde görmüştür Dedim ya herkes bu tarz şeyler kullanıyor. Ama bilmiyor ki bu yöntemleri bazıları zaten biliyor.
Her zaman şifrenizi anlamsız ama sizin ezberlediğiniz küçüklü büyüklü harfler ve rakamlardan oluşan en az 8 haneli kombinasyonlardan seçin ve hiçbir yere yazmayın! Yazarsanızda kimsenin ne olduğunu anlayamayıcağı şekilde farklı bir yerlere yazın.
Bunca seneye kadar ben, aslında hiçbir makinayı yada sistemi hack etmedim! Şu güne kadar hep o sistemin arkasında bulunan insan mantığını aştım. Bu benim için daha kolaydı. Çünkü sistemler değişiyor, yamanıyor ama insan mantığı milyonlarca yıldır aynı. Bunun örneğini SchoolBus TR nin FireWalları aşma sisteminde görebilirsiniz…
Şimdi web hacking olayı Hack olayının en akıl isteyen kısmıdır. Şimdiden söylüyorum aranızda bu işlerden anlamayan veya kafası bu tarz işlere basmayanlar varsa bu yazıyı okuyupta vaktini boşa harcamasın. Bu işlerde yeteniği olan kişiler yanlızca web hacking yapabilir. Gerisi avcunu yalar.
Olaya giriyorum. Şimdi en önce olayı mantık ve felsefe sınırlarına oturtalım. Bu benim kendi felsefem. Felsefem ise şu: Bir sistemin nasıl çalıştığını bilmeden, o sistemi kıramazsın! Bunu bir diğer anlamda açıklarsak bir sistemin arkasını görmeden onu önden çökertemezsin.
Peki ne bu? mesela senin bir web siten yok! Ama web hacking yapmak istiyorsun mümkün mü? Hayır değil! Nasıl işlediğini bilmediğin birşeye zarar veremezsin.
Peki yöntemler neler. Herkezin yapacağı basit yöntemler var başta. Mesela Brute Force, Dict Attack falan. Bunları yapmak için nerdeyse web bilmeye bile gerek yok. Sadece FTP bil yeter. Tabii bunlar Lamerlara göre şeyler, biz olayı aştığımız için fazla bilgi isteyen şeyleri yapıcaz. En önce bir sisteme girmek için açık olması gerekli ki açıktan dalalım. Nasıl açıklar olabilir bunlar, mesela bir script açığı PHF gibi. PHF kullanan sitelere şunu yazarsak bize şifrelerin bulunduğu yer gözükür /cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd . Ne bu? Açık tabii ki. Çoğu site yamamıştır şimdi ama bu bir açık. Nasıl bulunur? Script yazmayı bilenler bunu bulur. Kaynak koda bakarsın, açık olduğunu işleyiş tarzından anlarsın işte YOL! Burdan şifreleri alırsın bazılar Shadowed falan olur, bazılarını kırmak gerekir falan Cracker Jack tarzı programlarla kırarsın olur biter.
Şimdi bu bir yöntemdi ama başkalarıda var hatta hayal bile edilmemişleri var bu işlerde.
Mesela diğer bir yöntem, Commander.PL. şimdi diyeceksiniz ne bu? Bu commander.pl upload edildiği UNIX makinalara CHMOD 777 ve 755 sayesinde istediğiniz komutu girmenizi sağlayan birşey. Mesela benim hostingimi The-King sağlıyor ve site adı Hackerpower.com. Şimdi bana ayrılan subdomain olan spmaster a ben bunları upload edip çalıştırsam, ftp ile yetkimin olmadığı dosyalara ulaşır istediğimi silerim falan! Anladınız mı? Bakın ne kadar basit! Gidin bunu beleş yer veren yerlere yapın bakalım şimdi.
Diğer bir yöntem derim ama o kadar çokki. Zaten bu yazıyı okuyorsanız ya kendinizi geliştirmek istiyorsunuzdur yada bunu öğrenmek istiyorsunuzdur. Söyliyim şimdiden ikinci seçenektekiler için üzgünüm…
Şimdi benim bulduğum bir yöntem! Bunu açıklamıyacaktım çünkü sonuçta bahsediceğim şahıs benim sitemin bir ziyaretçisi. Ondan çok özür diliyorum bunu anlattığım için ama merak etmesin bu yazıyı okuyanların %99 u sana zarar verebilecek kadar bu işleri iyi bilmiyor. O yüzden sanıyorum sakıncası olmayacaktır.
Şimdi başlıyım, Panick bana jayjay diye bir dostunun olduğunu söyledi, bende baktım bize üye olmuş site kısmındada TYMSAH.COM yazıyor. Merak ettim siteye gittim. Bir baktım ki onlarda bizim formumumuz olan IKONBOARD un aynısını kullanıyor. Neyse baktım tymsah benim türkçeleştirmediği yerleri de türkçeleştirmiş forumun. Bende benim forumdan ve onun forumdan ona PM attım ve bu dosyaları istedim. Bana vereceğini söyledi, aradan vakit geçti dosyaları alamadım çünkü tymsah sanıyorum ki evinde değilmiş şehir dışındaymış.
Bende baktım olmuyor bekle bekle, Allah’a şükür bu işlerden anladığım için hemen yapmam gerekeni yaptım ve onun bana yollayacağı dosyaları kendim aldın nasıl mı?
Ben ikonboard’un dil dosyalarını falan nereye kurduğunu biliyorum. Yani tüm klasörlerin nerede ve hangi isimle olduğunu biliyorum. Çünkü bende ikonboard kullanıyorum. Bende madem öyle dedim, ve forumun dil dosyalarını indirmeye başladım yaptığım şu idi. Mesela hata mesajlarını bulunduran dil dosyasını istiyorsam yazmam yeterli. Dan diye ben bu dosyayı download edebiliyorum.
İşte ben böylece tüm dosyaları download ettim ve gördüm ki onun forum ile benim forum farklı versiyon olduğundan dosyalar uyuşmuyor
Herneyse ben istediğimi aldım ama iyi bir insan olarak. Peki diyelim ki ben kötü biriyim ve neler yaparım. İlk yapıcağım iş forumun DATABASE dosyasını ele geçirmek olacaktır. Bu sayede ben tüm forumdaki kullanıcılara şifrelere ve maillere ulaşabilirim. Bu kadar basit! Ha bu şifereler ENCRYPT edilmiş olacağından siz okuyamazsınız bunları. Bunu DECRYPT etmeniz gerekir. Tabii ben okurum bunları. Olay basit aklını kullanacaksın.
Kendi bilgisayarımdaki COOKİE dosyasını açarım, Forum adminin ID sini ve ENCRYPT edilmiş şifresini o databaseden alırım ve kendi COOKİE dosyama koyarım. Forumun sayfasına girince bir bakarım ki ADMİN olarak forumdayım Daha sonra admin şifresini değiştiririm. Sonrada sitenin tamamını hack ederim. Bu da basit en önce aldığım şifre ile FTP de bir deneme yaparım. Baktım olmuyor, bu forumların File Managerları var, isteyin dosyayı Admin odasından siliyorsun değişitriyosun falan. Ona girerim ve gerisini siz düşünün artık. Bu iş bu kadar kolay!
Mesela bir siteyi tabandan ack edip ROOT olacan. Bu işte kolay ama en önce arkayı bilecen. Nasıl mı? Mesela benim dostum The-King adminlik yapıyor. Biraz kafayı çalıştırırsa manyak bir hacker olur çıkar. Mesela ben onun gibi adminlik yapıyor olsaydım şu anda isteyenin eline sitesini vermiştim bile… Ama arkayı bilmediğim için önden o şekilde birşeyler yapamıyorum. Tabii bu site hack edemediğim anl***** gelmiyor. Bilene ve kafası çalışana/çalıştıarana herşey kolay walla!
Yaaa millet bir ton adam döküman yazmış Allah razı olsun. Beni döküman yazma sorununundan kurtarmışlar. Gidin hack arşivimizdeki dökümanları okuyun diyoruz hala gelip Web Hack nasıl yapılır diye soruyonuz be kardeşim. Yaw bu sorunun tam bir cevabı olsaydı siteler ve forumlar bölüm açmazdı bunun için. Böyle salak salak genel sorular sorupta sonra bana gelip ZORUNUZA MI GİTTİ diyen LAMER kaynayan ve hiçbirşeyden anlamayan forum ve sitelerden gelen bu tarz adamları öldüresim geliyor yaw!
Ya arkadaşım sen kimsin be yaw? Sen kimsinki insanlara saygısızlık yapıyorsun?
İnanmıyacaksınız ama ben bunuda söylüyorum çünkü manyak derecede sinirlendim, şu an türkiyenin en iyi hack sitesi sayılan ve bir ton üyesi olmasına rağmen, bilgi olarak bence sıfır olan bir sitenin açığını buldum! Beni bilen bilir ben asla sallamam. Bu açık ile neler yapıcağımı aklınız hayaliniz almaz! Ama ben birşeyler yapmıyorum hatta oradan bana laf bile gelse dokunmuyorum. Ben bilgisiz insanları aşağılayacak, onları üyelerine rezil edecek biri değilim. Ben dostluk yanındayım. Ama gün gelirde birileri benim düşmanım olursa o zaman ben bildiklerimi kötü işler için kullanırım ve taş taş üstünde kalmaz! Gördünüz Tymsah.com u hack etmek kolay idi. Ben size burda daha kötü olsaydı Database için gereken yolu da verirdim, nasıl okunacağını falanda. Ama yapmam! Tymsah arkadaşım, bana PM at ben sana bu sorundan kurtulma yolnunu anlatayım.
Gerçi ülke bu işlerden anlamayan LAMeRLAR ile kaynıyor ama olsun belki bilen biri sana verir. Nolur nolmaz.
Burdan beni, arkadaşlarımı ve sitemi çekemeyen Lamer arkadaşlara sesleniyorum, benim ve dostlarımın bilgisinden şüpheniz varsa bunu ortalık yerde konuşmayın gelin bize yüz yüze halledin. Biz birer atoma benziyoruz ve gün geldiğinde bir ülkeyi dahi yok edebilecek güce sahibiz. Ama gücümüz aklımızın esiri! Bu yüzden sıyırdınız gene…
Alınan ve kırılanlardan özür diliyorum, ama ne ekerseniz onu biçersiniz arkadaşlarım. Ben kimseye durduk yere çatmam. Diyeceğinizi diyin ve sonrada barışalım gitsin. Şundan emin olunki benden düşman değil bir dost istersiniz…
Soracaklarınızı uygun bir dille sormaya gayret ediniz aksi takdirde yanlış anlaşmalar olabiliyor.
Bide şu aralar birileri yada birisi benim açtığım tüm sitelere saldırıda bulunuyor. Bu saldırılara bis D.o.S diyoruz. Yani Denial Of Service. Bu tarz saldırılar için aşağıda açıklamayı tekrar yapacağım. Ama şunu belirtiyim bu saldırıları yapan her kim ise hem beni sevmiyor hemde namezero gibi dev bir siteyi zorlayacak kadar güçlü bir bağlantıya sahip (en az T1) ve %90 bu kişi türk değil. Diyecek bişey bulamıyorum ama bu kişinin ipsini ele geçirirsem ki geçiririm. Başı fena ağrır…
Post a Comment