Bu yazımızda Siber Güvenlik ile ilgilenen veya ilgilenmeyen bir çok kişinin duyduğu ve maruz kaldığı brute force attack yani kaba kuvvet saldırısı bir diğer ismiyle sözlük saldırısını ele alacağız. Özellikle sosyal medya hesaplarının çalınması, web site login panellerine erişilerek admin hesabı ele geçirilmesi ya da çeşitli yerlerde bulunan üyeliklerinizin ele geçirilmesi gibi daha bir çok durumun oluşmasının temelinde yatan brute force saldırılarını işleyeceğiz.
Brute Force Nedir?
Brute Force, hedeflenen kişinin hesaplarını koruyan parolaların ele geçirilmesi için bir wordlist yani olası şifrelerden bir liste yapılarak bunların sırayla denenerek elde edilmesidir. Bu saldırı yapılırken daha önce leak olmuş parola listelerinden de faydalanılabilir. Örneğin son günlerde eskiden bilinen Rockyou wordlistinin yeni versiyonu olan ve 10 milyar veri içeren Rockyou2024 listesi kullanılabilir. Aynı parolaların bir çok hesapta kullanılması sonucu böyle leak olan veriler ile hesaplar kolayca ele geçirilebilir.
Kişinin sadece parolası için brute force saldırısı yapılmamaktadır. Hedef kişinin kullanıcı adı ve parolasına aynı anda denemeler yapılabilir ancak bu süreyi uzatacaktır. Bunun için kişinin kullanıcı adının bilinmesi daha iyi sonuçlar verecektir.
Brute Force Attack Nasıl Yapılır?
Brute Force attack yaparken genellikle Kali Linux içerisinde yüklü olarak gelen Hydra toolu kullanılmaktadır. Hydra bir çok protokolü desteklediği için ve güçlü bir araç olduğu için sıklıkla tercih edilmektedir. Hydra yanında, BurpSuite, Medusa, JohnTheRipper vb. daha bir çok araç kullanılabilir. Biz Hydra aracını ele alacağız.
Bu örnekte bir web sitesinin login panel girişini ve hydra aracının kullanacağız. Login panel aşağıdaki gibidir.
Rastgele verileri girerek BurpSuite ile isteği yakalıyorum.
İsteği yakaladıktan sonra rastgele veriler girdiğimiz için ekrana yansıyacak hata mesajı brute force saldırısı yaparken kullanacağımız için not etmemiz gerekiyor. BurpSuite ile isteği incelediğimizde ise ip adresi, login panel yolu, username password kısmı ve gönderilen isteğin POST isteği olduğu bilgisini not ediyoruz.
Elde ettiğimiz tüm bilgileri kullanarak yukarıda yazdığımız komut ile brute force saldırısını başlatıyoruz. Komutun detaylı bilgisi aşağıdaki gibidir.
İlk olarak hydra -L komutu ile username için wordlist belirtiyoruz ancak buraya wordlist değil de sadece username vereceksek büyük L değil küçük (-l) harfi kullanmalıyız. Daha sonra -P komutu ile password için kullanılacak olan wordlist yolunu belirteceğiz ancak sadece bir tane password verip username için brute-force atak yapacaksak küçük -p harfini kullanmamız gerekiyor. Ardından login panelin bulunduğu domain veya ip adresini veriyoruz (192.168.72.135). İp adresini verdikten sonra -V parametresi ile çıktıyı artırabiliriz ve ardından isteğin POST olduğunu belirtiyoruz. Daha sonra login panelin ip adresinden sonra gelen kısmını yani yukarda görüldüğü üzere “/backend/backend/auth/signin” kısmını belirtiyoruz. Bu kısımdan sonra ise BurpSuite ile elde ettiğimiz &login=&password kısımlarını veriyoruz. Bu kısımlara deneme yapılacağı için Hydra‘nın burayı görmesi amacı ile bu kısımların önüne login kısmı için ^USER^, password kısmı için ^PASS^ komutunu veriyoruz ve son hali &login=^USER^&password=^PASS^ halini alıyor. Bu işlemden sonra son olarak yanlış şifre denemesi olduğunda ekrana yansıyacak olan “not found” mesajını buraya ekliyoruz.
Brute Force Saldırısından Korunma
Görüldüğü gibi brute force saldırısı yuakrıdaki şekilde yapılmaktadır. Bu gibi kaba kuvvet saldırılarından korunmak için güçlü bir parola seçmeli ve bu parolayı sadece bir hesabınızda kullanmalısınız. Belirli aralıklarla örneğin ayda bir ya da 3 ayda bir olacak şekilde değiştirmelisiniz. Her hesabınızda farklı bir parola kullanmalısınız. Ayrıca hesaplarınızda bulunan 2FA ve MFA yöntemlerini aktif etmelisiniz. Eğer bir web siteniz var ise deneme sınırı koymalısınız ve sınır aşıldığında en az 24 saat bloklama eklemelisiniz. Sözlük saldırılarından korunmak için bu tavsiyeleri dikkate almanız gerekmektedir.
