Kali Linux Hakkında

Kali – En Gelişmiş Penetrasyon Test Platformu

GİRİŞ

Ülkemizde bilişim suçları ile mücadele kolluk kuvvetlerinin üzerinde önemle durduğu bir konu haline gelmiştir. Adli bilişim kapsamında görev yapacak uzman personel yetiştirmek, acil ihtiyaç duyulan yerlerden başlanarak tüm ülke genelinde bilişim suçları ile mücadele birimlerinin yaygınlaşmasını sağlamak, kolluk kuvvetlerinin öncelikleri arasında yer almaktadır.

Bundan dolayı çalışmamda Kali Linux işletim sisteminin kurulumu, menüleri ve adli bilişimde kullanılan araçları hakkında bilgilere yer verilmiştir.

BİRİNCİ BÖLÜM

KALI LINUX HAKKINDA

1.1.Kali Linux Nedir?

Kali Linux, gelişmiş Penetrasyon Testi ve Güvenlik Denetim amaçlayan bir Debian tabanlı Linux dağıtımıdır. Güvenlik testleri gerçekleştiren pentest, audit ekiplerinin kullanabileceği offensive security araçlarını bünyesinde barındırır.

Kali Linux, BackTrack yapımcıları tarafından 2013 yılında oluşturulmuş olan bir güvenlik kontrol işletim sistemidir. İçerisindeki araçlar sayesinde birçok alanda (ağ, Windows, Arduino) güvenlik testi yapmak ve yazılım geliştirmek mümkündür. Masaüstü ortamı olarak BackTrack’teki gibi KDE seçeneği yoktur; yalnızca GNOME masasütü ortamı kullanılabilir durumdadır. Ayrıca 64-bit (amd64), 32-bit (i386), ARM ve Armel alt yapı desteği de vardır. [1]

1.2. Kali Linux Dosyaları

http://www.kali.org/downloads adresinden üye olmadan direkt olarak, Kali işletim sisteminin 64 veya 32 bitlik sürümleri, VMware ve VirtualBox imaj görünümleri indirebilir.

1.3.Kali Linux Kurulumu

ISO formatında veya sanallaştırma platformu için iki farklı kurumun seçeneği mevcuttur.

1.3.1.DVD’den Kurulum

DVD’den kurulum yapmak için, indirme adresinden “.iso” dosyası temin edilmelidir. Bunun sanallaştırma imajından farkı, kurulumu kendi seçenekleriniz ile yapmanız ve fiziksel sürücüye kurarken dosya/dizin yapısını belirlemenizdir.

İndirilen “.iso” dosyasının boyutu 3 GB üzerindedir ve boş bir DVD’ye yazarak, sistemi CD aracılığıyla boot edilir.

1.3.2. Vmware ile Kurulum

Diğer bir kurulum şekli ise Vmware sanallaştırma yazılımıdır. İşletim sistemlerini fiziksel makinelere kurmak yerine, Vmware aracılığı ile sanal olarak kurabilir ve sanal network oluşturabilirsiniz.

Kali linux’ u iso dosyası şeklinde indirdikten sonra, Wmware workstationu çalıştırın “Create New Virtual Machine” seçeneğine tıklayın ve karşınıza gelen seçeneklerden “Typical” dan sonra “installer disc image file” seçeneğinden “iso” dosyasının olduğu dizini gösteriyoruz. Daha sonra makinenin özelliklerini belirleyerek “next” deyip son olarak “Finish”’e basarak sanal makinemizi oluşturuyoruz.

1.3.2.1. Wmware Network Ayarları

Wmware kurulduktan sonra bilgisayarımızda 2 adet sanal ağ kartı oluşmaktadır. Bu ağ kartları ile kullandığınız sanal makineler IP alırlar ve fiziksel işletim sistemi üzerinden internete çıkmaktadırlar.

Bridged: Bridge mod’a alınan sanal makine IP talebinde bulunduğunda, IP talebi sanal ağ kartından değil de, üzerinde çalıştığı fiziksel işletim sistemine ip veren DHCP tarafından cevaplanır. Bu sayede fiziksel ağa dâhil olmuş bir sanal makine kullanılabilmektedir.

NAT: Kullandığınız sanal işletim sistemine IP’yi sanal ağ kartının ataması işlemidir. Bu durumda sanal işletim sistemi, üzerinde çalıştığı fiziksel işletim sistemi ile aynı ağda çalışan diğer bilgisayarlar ile iletişime geçemezler. NAT, kısaca; Sanal ağ oluşturulmasıdır.

Host-Only: Sanal makineler için yalıtılmış bir ağ ortamı sunar. İnternete çıkış yoktur ve sanal olarak kurulmuş tüm makineler birbirleri ile iletişim sağlayabilir.

Custom: Vmnet isminde sanal ağlar oluşturulur. Aynı sanal ağda olan bilgisayarlar birbiri ile iletişime geçerler. [2]

1.3.2.2. İlk Karşılama Ekranı

Makine çalıştığında farklı kurma seçenekleri karşımıza geliyor. Kali Linux diğer birçok Linux dağıtımının da sahip olduğu çeşitli çalışma modlarına sahiptir. Bunlar aşağıda detayları ile aktarılmıştır.

Live: Diske kurulum gerektirmeksizin kullanabileceğiniz çalışma şeklidir. Live olarak açtığınızda diske otomatik olarak bağlanır ve fiziksel disk üzerinde de işlem yapmanızı sağlar. Pentest çalışmalarında veya fiziksel işletim sisteminizde problem çözmede sıklıkla kullanılır.

Live (Forensics Mode): Bu çalışma şekli, adli bilişim analizi yapan kullanıcılar tarafından sıklıkla tercih edilir. Live Forensics çalışma şeklinde, disk otomatik olarak bağlanmaz yani fiziksel diske dokunulmaz. Harici medyalar varsa, USB, cd vb. bunlara da dokunulmaz. Dolayısıyla fiziksel diskte bir değişiklik olmadan (ki bu Forensics çalışmalarının ilk kuralıdır) çalışmaya başlayabilirsiniz. Diskin imajını alacak, hash hesaplaması yapacak araçlar kullanılarak Forensics çalışması başlatılabilir.

Install: Diske kurulum moduna geçer.

Graphical Install: Diske kurulum moduna grafik arabirimi kullanarak geçer.

Advanced Options: Sistemin yerel diskten veya harici bir sürücüden yüklenmesi için sunulan seçenektir. [3]

Ben “Graphical Install” i tercih ediyorum.

1.3.2.3. Kurulum Dili

Kurulum aşamasında öncelikli olarak, Kali’yi kullanacağınız dil ayarlarını gösteren bir ekran geliyor. Uygun dil ayarını seçip devam edebilirsiniz. Kurulum dilleri arasında ‘Türkçe’ de bulunmaktadır. Bu dokümanda kurulum dili Türkçe seçilmiştir. İlgili dili seçip “Continue” diyoruz.

1.3.2.4. Zaman ayarı ve Konum Belirleme

Karşımıza konumumuzu seçmemizi isteyen ekran geliyor. Zaman ayarları vb. konularda sorun yaşamamak için “Türkiye” olarak seçiyoruz ve devam ediyoruz.

1.3.2.5. Klavye Seçimi

Daha sonra kurulum sonrası klavye dili olarak belirttiğiniz dil geçerli olacaktır. Listeden size uygun klavye dilini seçip ilerleyebilirsiniz. Bu makalede kullanılacak “Türkçe F veya Q” düzeni klavyeyi seçiyoruz.

1.3.2.6. Ağ Ayarları

Bileşenler kurulduktan sonra network ayarlarının yapıldığı ekran geliyor. Burada makinenin DNS ismini soruyor. Kali yazarak geçiyorum.

Gelen ekranda domain name soruyor. Burayı boş bırakıp devam ediyoruz.

Bir sonraki aşamada root kullanıcısının parolasını tanımlamalısınız. Tahmin edilmesi güç, içerisinde büyük/küçük harf, rakam ve alfanumerik karakterlerin olduğu minimum 8 haneli bir parola tanımlamanız önerilmektedir.

Bu aşamaya kadar tüm genel ayarları yaptık. Bundan sonraki aşamada diske kurulum başlayacaktır. Eğer yanlış/eksik yapılandırdığınızı düşündüğünüz bir ayar varsa ‘Geri dön” butonu ile geri dönüp ayarları tekrar gözden geçirebilirsiniz.

1.3.2.7. Diske Kurulum

Bu adımda Standart Linux disk bölümleme seçenekleri ile karşılaşmaktasınız. Diskin tamamına kurulum yapmak için ilk seçeneği işaretleyip ilerleyebilirsiniz. Disk bölümleme yapmak için LVM veya Elle seçeneklerini tercih edebilirsiniz.

Sisteminizde birden çok disk varsa aşağıdaki pencerede görüntülenecektir. Kurulum yapmak istediğiniz diski seçip ilerleyebilirsiniz. Benim sistemimde tek disk bulunmakta ve kurulumu bu diske gerçekleştireceğim.

Bu aşamada Linux da bulunan Home, var ve tmp gibi alanların farklı bölümlere kurulabileceğini belirtiyor. Linux dosya/dizin yapısına hâkim değilseniz veya başlangıç seviyesindeyseniz hepsini tek bölüme kurmak için ilk seçenek yeni kullanıcılara tavsiye edilmektedir.

Bu bölümde Disk ayarlarının özetini gösterilmektedir. Ayarlar kontrol edildikten sonra kurulum için devam ediyoruz.

Gerekli yapılandırmaları ‘Evet’ seçeneği ile onaylayıp, kurulum için devam ediyoruz.

Eğer her şey yolundaysa diske kurulum başlayacaktır. Kurulum ortalama 15-20 dakika arasında sürmektedir. Bilgisayarınızın hızına göre değişiklik gösterebilir.

Diske kurulum bittikten sonra güncelleme için ihtiyaç var ise “evet” seçilir ve güncelleme işlemi yapılır.  

Kurulum ve güncelleme bittiğinde aşağıdaki gibi bir mesaj ile karşılaşılır ve Kali Linux kurulumunun tamamlanması için sistem yeniden başlatılır.

Kurulum sonrası ‘root’ kullanıcı adı ve kurulum sırasında tanımladığınız parola ile giriş yapabilirsiniz.

Kurulum sonrası masaüstünden bir görünüm:

İKİNCİ BÖLÜM

KALİ LİNUX İLE PENETRASYON

2.  Pentest(Sızma Testleri) Nedir?

Penetrasyon testi firmaların Bilişim Sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin saldırmasını öngören yöntemler kullanılarak yapılan saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılması ve tüm bu işlemlerin raporlanmasıdır. Amaç şirketlerin farkında olmadıkları güvenlik açıklarının iyileştirilmesidir. Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir. [4]

Penetrasyon Testleri: Black Box, Gray Box, White Box olarak üç gruba ayrılır.

2.1.1.Black Box

Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz. Zarar vermek ya da firmadan bilgi sızdırmak amacıyla sızmaya çalışan saldırgan gibi davranılarak verilebilecek zararları görmek ve önlem almak amacıyla sistemlere girmeye çalışılır.

2.1.2.Gray Box

White Box + Black Box olarak tanımlayabiliriz. Sistemlerin, sistemler hakkında detaylı bilgi alınmadan test edilmesi yöntemidir. Bu test ile firma içinde kısıtlı yetkilere sahip kullanıcıların sisteme verebilecekleri zararlar tespit edilip önlemler geliştirilir.

2.1.3.White Box

Güvenlik uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkında ki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış ya da hala çalışmakta olan kişilerin sistemlere verebilecekleri zararlar gözetilir ve raporlanır. [5]

2.2.Vulnerability Assessment (Zafiyet Testleri) Nedir?

Zafiyet taraması bir sistemdeki muhtemel tüm açıkların belirlenmesine yönelik tasarlanmış bir testtir. Zafiyet taramasında amaç taranan sistemin genel güvenlik görüntüsünü almaktır. Zafiyet taraması muhtemel tüm güvenlik tehditlerine karşı sizi uyarır. Zafiyet taraması raporunda çıkan tüm bulgular ciddi bir tehdidi göstermeyebilir. Örnek vermek gerekirse bir IIS sunucunda yapılan taramada sunulan bir web hizmeti http olabilir. HTTP protokolünün güvenli şifrelenmiş versiyonu bildiğimi üzere HTTPS’dir. Dolayısı ile bir sitede HTTP yerine HTTPS kullanmak zafiyet taramasında bir bulgu olarak gözükebilir. Fakat siz o hizmeti HTTP sunmak zorunda olabilirsiniz.

Gerekli güvenlik önlemleriniz var ise bu sizin için ciddi bir tehdit değildir. Yukarıdaki örnekteki gibi tüm protokoller, verilen her hizmette şifrelenmiş olmak durumda değildir. Ama bu durum Zafiyet taramasında bir bulgu olarak gözükebilir. Dolayısı ile Zafiyet taraması sistemle ilgili oluşabilecek tüm güvenlik risklerini bize sunan bir güvenlik taramasıdır.

Tabi bu zafiyet taramasının ciddiye alınmaması gibi bir durum ortaya koymaz. Zafiyet taramasında çıkan tüm bulguların dikkatli bir şekilde incelenmesi gerekir. Bu tehditlerden hangisi bizim sistemimizde gerçek bir risk oluşturuyor buna kara verilmesi gerekir.

Zafiyet taramasında denetlenen bir diğer şey ise uyumluluk süreçleridir. Zafiyet taraması firmaların PCI, SOX, HIPPA vs. gibi dünyaca kabul edilmiş birçok uyumluluk standartlarına göre durumunu da inceler. BT ortamınız bu uyumluluklardan geçecekse bu taramaların mutlaka yapılıp sistemin durumu hakkında fikir sahibi olmak ve gerekli önlemleri almak gerekir. [6]

2.3.Penetrasyon Testi Aşamaları:

• Pasif Bilgi Toplama
• Aktif Bilgi Toplama
• Ağ Analizi
• Port Analizi
• Sistem Analizi
• Yetki Yükseltme
• Sistem Durdurma
• Kaynakların Doldurulması
• Yetkisiz Erişim Sağlama
• Risk Değerlendirmesi
• Web Tabanlı Uygulamalara Yönelik Saldırılar
• Sosyal Mühendislik Saldırıları

2.4.Penetrasyon testinden sonra neler yapılmalı:

Test bittikten sonra sonuçları değerlendirebilmek ve raporlamakta, testin teknik tarafı kadar önemlidir. Test sonrası ortaya çıkan eksiklikler giderilmeli ve ileri zamanlarda tekrar aynı zaafiyetlerle karşılaşmamak için önlemler alınarak geliştirmeler yapılmalıdır.

Pentest şirketin üst yönetim birimlerinin anlayacağı açık bir dille raporlanmalıdır.

Çıkan sonuçlar istatiksel oranlara bölünmeli ve bulunan zaafiyetler kategorilere ayrılmalı (örn : kritik, yüksek, orta, bilgi seviyesi vb. )Tespit edilen güvenlik açıkları raporlanırken teknik olarak zafiyet bazlı veya IP bazlı olabilir.

Raporda teknik detay olarak ; zaafiyet ismi, etkilenen makineler (kullanıcılar, sunucular, switch vb.), açıklama, çözüm önerisi, ilgili port/servis, referanslar ( MS08-067 –> CVE-2008-250 ) , elde edilen detaylar ve ekran görüntüleri yer almalıdır.

Güvenlik açıklarının neden olabileceği sonuçlar ile risk değerlendirilmesi yapılmalıdır. Açıklıklarının kapatılmasının takibi yapılmalıdır. Raporda yer alan açıklar belirlenerek hangi açığın kimin sorumluluğunda olduğu belirlenmelidir.

2.5.Pentest Ne Sağlar?

Bilgi güvenliği farkındalığı sağlanır. Dışarıdan saldırgan bakış açısıyla güvenlik açıklarının kontrolü ve raporlanması güvenlik açısından önemlidir. Şirketlerin kendi içlerindeki güvenlik tedbirleri çoğunlukla yeterli olmamakta ve önlemler güncelliğini koruyamamaktadır. Ayrıca kötü niyetli hackerların sayısının artması ve bilgi düzeylerinin genellikle birçok şirket çalışanından önde olması pentestin önemini ortaya koymaktadır. Pentest bir şirketin bilişim sistemleri için iç ve dış tehditlere karşı güncel önlemler alınmasını ve zafiyetlerin giderilmesini sağlar.

Saldırılara karşı daha dirençli bir bilişim altyapısı kullanıcı bazlı olarak bilgi güvenliği farkındalığının artması sistemlerin durdurulma veya kaynak doldurmaların engellenmesi yasal olarak uyum sağlama kurum prestijinin ve marka değerinin korunması sağlanır.

Penetrasyon testi nedir başlığı ile güvenlik kategorisini daha sık güncelleyeceğimi duyurmak isterim. Bu yazı içinde pentestin özelliklerinden, çeşitlerinden, aşamalarında bahsettim. Bundan sonraki başlıklarda pentest aşamalarını uygulamalar yaptıkça adım adım inceleyecek ve buradan sizlerle paylaşacağım.

ÜÇÜNCÜ BÖLÜM

KALİ LİNUX ‘E ÖZGÜ ARAÇLAR

3.Kali Linux Menü Başlıkları

Menü başlıkları aşağıya çıkarılmıştır.

1. Information Gathering (Bilgi Toplama)
2. Vulnerability Analysis (Güvenlik Açığı Analizi)
3. Web Application Analysis (Web Uygulama Analizi)
4. Database Assessment (Veritabanı Değerlendirme)
5. Password Attacks (Parola Saldırıları)
6. Wireless Attacks (Kablosuz Saldırılar)
7. Reverse Engineering (Tersine Mühendislik)
8. Exploitation Tools (Sömürü Araçları)
9. Sniffng & Spoofing (Sniffng & Sızdırma)
10. Post Exploitation (Post Sömürü)
11. Forensics (Adli Bilişim)
12. Reporting Tools (Raporlama Araçları)
13. System Services (Sistem Hizmetleri)
14. Usual applications (Her Zamanki Uygulamalar)

Kali Linux’ta sistem güvenliği için kullanılabilecek bir sürü araç bulunmaktadır. Bunlardan bazılarını kısaca inceleyelim.

3.1.En Çok Kullanılan Araçlar

Dnsenum: Bir domain hakkında record kayıtları, mail serverleri, subdomainleri gibi bilgileri bize vermektedir.

Fierce: Bir şirketin ardışık olmayan ip adreslerini bulmak için bir araçtır.

Maltego: Bir domainin whois bilgisi, kişi bilgileri, hosting bilgilerini vs. vermektedir. Görsel arayüzü bulunmaktadır.

Nmap(Network Map): Ağ taraması için kullanılan çok kapsamlı bir araçtır. Ağdaki birçok şeyi keşfetmenizi sağlar.

Hping3: Tcp/ip paketleri oluşturmak için kullanılan bir araçtır.

Dirbuster: web/uygulama sunucuları üzerindeki klasör ve dosyaları brudeforce saldırısıyla keşfetmektedir.

ZAP(zed attack Proxy): web uygulamalarının güvenlik açıklarını bulmaya yara. Penetrasyon testlerinde kullanılmaktadır. (Bankaların penetrasyon testi yaptırması zorunludur)

Nikto: Web güvenlik açıklarını bulmaya yarayan bir program. IDS/IPS sistemler tarafından engellenebilir.

W3af: Sql injection, xss gibi açıkları yakalayabilen bir programdır.

Sqlmap: Sql injection açıklarını bulmaya yarayan, penetrasyon testlerinde kullanılan bir araç.

John: Linux şifrelerini kırmaya yarayan bir yazılım.

Hydra: brude-force atakları gerçekleştirmektedir. Güçlü bir yapısı vardır.

Aircrack atakları: Wifi şifrelerini kırmaya yarayan araçları barındırır. http://www.aircrack-ng.org/ sitesi ve ekstra bilgiler için. Airodump-ng , aireplay-ng, aircrack-ng, wifite, reaver wifi için kullanılan scriptlerdir.

Weevelly: post explotation için kullanılan bir yazılım. [7]

3.2.FORENSICS TOOLS

Makalemizin konusu adli bilişim ağırlıklı olduğundan bu bölümde “Forensics Tools” bölümünü ayrıntılı inceleyeceğiz. Diğer menülerin ayrıntılarını http://tools.kali.org/tools-listing web adresinden incelenebilir.

3.2.1.Digital Forensics (Dijital Adli Bilişim)

• dc3dd
• dcfldd
• extundelete
• missidentify
• pdgmail
• readpst
• reglookup
• regripper
• vinetto

3.2.2.Forensic Carving Tools (Adli veri Kurtarma Araçları)

• foremost
• magicrescue
• pasco
• pev
• recoverjpeg
• rifuti
• rifuti2
• safecopy
• scalpel
• scrounge-ntfs

3.2.3.Forensic Imaging Tools (Adli İmaj Alma Araçları)

• affcat
• dc3dd
• dcfldd
• ddrescue
• ewfacquire
• guymager

3.2.4.PDF Forensics Tools  (PDF Adli Bilişim Araçları)

• pdf-parser
• pdfd
• peepdf

3.2.5.Sleuth Kit Suite (Sleuth Kit Takımı)

• autopsy
• blkcalc
• blkcat
• blkls
• blkstat
• ffind
• fls
• fsstat
• hfind
• icat-sleuthkit
• ifnd
• ils-sleuthkit
• img_cat
• img_stat
• istat
• jcat
• mactime-sleuthkit
• mmcat
• mmls
• mmstat
• sigfind
• sorter
• srch_strings
• tsk_comparedir
• tsk_gettimes
• tsk_loaddb
• tsk_recover

3.3. ForensicsTools Bölümünde En Çok Kullanılan Araçlar

3.3.1.dc3dd

dd yazılımının adli bilişim için geliştirilmiş (patch) bir versiyonudur. ABD Savunma Bakanlığı Siber Suçlar Merkezi tarafından geliştirilmiştir. dc3dd, dcfldd yazılımının sahip olduğu tüm özelliklere sahip olmakla beraber, dcfldd’de olmayan dd yazılımının sahip olduğu bazı önemli özellikleri de bünyesinde barındırmaktadır. dcfldd yazılımında kullanılan komut satırı argümanlarının aynısı dc3dd yazılımında da kullanılabilmektedir.

dc3dd yazılımının, dd yazılımına ek özellikleri;

• dc3dd disk wipe etme işleminde belli bir hexadecimal veya string değer kullanabilmektedir.
• MD5, SHA-1, SHA-256, ve SHA-512 hash algoritmalarını desteklemektedir.
• Girdi/çıktı verisine göre süreç cetveli bulunmaktadır.
• Hata ve hash loglarını birlikte gösterebilmektedir.
• Ciddi ardışık hatalarda ayrı bir log dosyası üretmektedir.
• Girdi ve çıktı verisi arasında doğrulama özelliğine sahiptir.
• Dışa aktarılan dosyalarda numerik veya alfabetik uzantılarla kaydetmektedir. [8]

[Seçenekler]

• progress=on  (İlerleme çubuğunu göster)
• hash=<type>  (hashtürü = md5, sha, sha1,sha256 )
• hashlog=filename  (İmaj alma sırasında ve log dosyasına yazma sırasında bütünlük doğruluma yap)
• hashwindow=NUM  (Her num ile belirtilen miktarda byte işleminden sonra MD5 hash hesaplaması yap)

Örnek: dc3dd if=/var/log/messages of=/tmp/dc3dd hash=md5

3.3.2.dcfldd

dcfldd, dd komutunun geliştirilmesi neticesinde adli bilişim uzmanları tarafından kullanılması maksadıyla 2002 yılında yazılmıştır. dd’nin özelliklerine ek olarak algoritma imzası hesaplama ve kopyalama işleminin doğrulanması gibi işlemlerin yapılmasına da imkân sağlar. Bu yazılımın dezavantajı ise sadece ham (raw) biçimde kopyalama yapılmasına imkân sağlamasıdır. Yani kopya dosyasına, yapılan işlemler ile ilgili üst veri (metadata) bilgisi yazılamamaktadır.

Dcfldd’ nin dd ye ek olarak geliştirilmiş özellikleri şunlardır:

• İşlem sırasında hash değeri hesaplama – dcfldd veri transferi esnasında veri bütünlüğünü sağlamak için hash hesaplama işlemi yapabilmektedir.
• İşlem sonuç çıktısı – dcfldd işlem esnasında ne kadar veri transferi yapıldığını ve geride transfer edilecek ne kadar verinin kaldığını gösterir.
• Esnek disk temizleme – dcfldd disk temizleme işlemi yapabilmektedir.
• İmaj/wipe doğrulama – dcfldd imaj alma ve wipe işlemlerinin sonuçlarını doğrulayabilmektedir.
• Çoklu çıktılama – dcfldd aynı anda farklı dosya veya disklere veri aktarımı yapabilmektedir.
• Çıktı dosyasının bölünmesi – dcfldd, dd’nin split parametresine göre dışa aktarılan verilerin daha güvenilir dosyalara bölünebilmesi imkânı vermektedir.
• Çıktı üzerinden işlem ve loglama – dcfldd, log dosyaları ile dışa aktarılan verileri farklı lokasyonlara aktarılmasını sağlayabilmektedir. [9]

3.3.3.AIR – Automated Image and Restore

AIR (Automated Image and Restore) dd ve dc3dd yazılımları ile adli bilişim amaçlı imaj alınabilmesi için hazırlanmış grafik arayüze sahip bir programdır.

Yazılımın özellikleri;

• IDE, SCSI, CD-ROM ve tape yedekleme ünitelerini otomatik görüntüleme,
• dd veya dc3dd yazılımlarını ayrı ayrı kullanım seçeneği,
• MD5 veya SHA1/256/384/512 algoritmaları kullanarak kaynak ve kopya arasında imaj doğrulama özelliği,
• gzip/bzip2 formatında imaj sıkıştırma ve açma özelliği,
• TCP/IP protokolü üzerinden netcat/cryptcat ile ağ üzerinden imaj alma özelliği,
• SCSI tape sürücü desteği,
• Disk veya bölüm wipe edebilme özelliği,
• İmaj dosyasını daha küçük dosyalara bölebilme,
• Tarih/saat ve kullanılan komutları gösteren detaylı log kayıtları tutabilme özellikleridir.

AIR yazılımının en önemli özelliği, otomatik olarak medyaları tanımlayarak üzerinde işlem yapılmasına imkân sağlamasıdır. Yazılım çalıştırıldığında, medyaların tanımlı olarak bulunduğu işletim sistemi dosyalarına inceleyerek, bilgisayara bağlanmış durumda olan tüm medyaların bir listesini çıkartır. [10]

3.3.4. Advanced Forensic Format Library (afflib)

Advanced Forensic Format Library (afflib) adli bilişim amaçlı geliştirilmiş bir tür dosya formatı ve bu formatı kullanan programlar bütünüdür. AFF (Advanced Forensic Format) biçimi kopyaların yukarıda bahsedilen diğer kopyalama türlerine nazaran temel iki üstünlüğü vardır. Bunlar;

• İmaj dosyalarına üst veri (metadata) bilgileri gibi dosya bilgileri de eklenebilmesi,
• Sıkıştırma teknolojisi sayesinde imaj dosyalarının daha az yer kaplamasıdır.

AFF yazılımı, kullanıcıları veri segmentlerini, sıkıştırmasını veya diğer teknik verileri anlamaya zorlamak yerine, af_open(), af_read() and af_seek() gibi komutlar aracılığıyla AFF türü kopya dosyaları birer veritabanı gibi kullanılabilmekte ve sorgulanabilmektedir. [11]

3.3.5.Ddrescue

dd’nin komut satırından çalışan geliştirilmiş bir versiyonudur. dd’ye göre hatalı girdi ve çıktıları daha az göz önünde bulundurarak, bozuk ve hasarlı medyalardan veri kurtarma işlemlerinde kullanılmaktadır. Kopyalama sırasında hatalı bir alana rastlaması durumunda okuma alanını daha küçük parçalara bölerek veriyi okumaya çalışır. Komut parametreleri dd den farklıdır; [12]

Örnek: dd_rescue /dev/hda birebirkopya.img

Örnek: ddrescue –no-split /dev/hda1 imagefile logfile.

3.3.6.DFF

DFF (Digital Forensics Framework) özel bir uygulama programlama arabirimi (API) üstüne inşa edilmiş ücretsiz ve açık kaynak adli bilişim yazılımıdır.

DFF sayesinde dijital delilleri hızlı ve kolayca ortaya çıkarmak, veriler bozulmadan toplamak ve sistemleri korumak için profesyonel ve uzman olmayan kişiler tarafından kullanılabilir.

Özellikleri:

Preserve digital chain of custody: Yazılım yazma engelleyici, şifreleme karma hesaplaması

Access to local and remote devices: Disk sürücüleri, Çıkarılabilir aygıtların, uzak dosya sistemleri

Read standard digital forensics file formats: Raw (Ham), EWF, AFF 3 dosya biçimleri

Virtual machine disk reconstruction: VmWare (VMDK) uyumlu

Windows and Linux OS forensics: Kayıt defteri, posta kutuları, NTFS, EXTFS 2/3/4, FAT 12/16/32 dosya sistemleri

Quickly triage and search for (meta-)data: Normal ifadeler, sözlükler, içerik arama, Etiketler, zaman-içini kaplamak

Recover hidden and deleted artifacts: Silinmiş dosyaları / klasörleri alanlarda, ayrılmamış, oyma

Volatile memory forensics: İşlemler, yerel dosyaları, ikili özütleme, ağ bağlantıları

Örnek: dff -gui

DFF grafik görünümü:

3.3.7.diStorm3

diStorm hafif, kullanımı kolay, hızlı ve çözücü kütüphanedir. diStorm 16, 32 ve 64 bit modlarında yönergeleri ayrıştır. FPU, MMX, SSE, SSE2, SSE3, SSSE3, SSE4, 3D yeni x86-64 komut setleri, VMX, AMD’nin SVM ve AVX komut setlerini desteklemektedir. diStorm C ile yazılmıştır. [13]

3.3.8.extundelete

extundelete bir ext3 veya ext4 bölümü silinmiş dosyaları kurtarma aracıdır. Ext3 ve ext4 dosya sistemleri Linux dağıtımlarında en yaygın varsayılan dosya sistemleridir. Extundelete, bölümden silinmiş bir dosyayı kurtarmaya çalışmak için bölümün günlüğünde depolanan bilgileri kullanır. [14]

Örnek: extundelete /dev/sda1 –restore-file root/importantfile

3.3.9.Foremost

Foremost kendi üstbilgileri, altbilgileri ve iç veri yapılarına dayalı kayıp dosyaları kurtarmak için adli bir programdır. Foremost görüntü dosyalarına, dd tarafından üretilen Safeback, Encase, vs, veya bir sürücüyü doğrudan çalışabilirsiniz. Üstbilgi ve altbilgileri bir yapılandırma dosyası tarafından belirtilen veya yerleşik dosya türlerini belirtmek için komut satırı anahtarları kullanabilirsiniz. Bu yerleşik türleri veri yapıları daha güvenilir ve daha hızlı bir iyileşme için izin verilen dosya biçimine bakmak gerekmektedir. [15]

Örnek:

3.3.10.Galleta

Galleta Microsoft’un Internet Explorer tarafından üretilen tanımlama bilgisi dosyalarının içeriğini inceleyen adli bir araçtır. Dosyayı ayrıştırır ve bir elektronik tablo halinde yükleyerek çıktılar oluşturur.

Örnek:  galleta -d “;” dosya.txt

3.3.11.Guymager

Guymager, adli bilişim uzmanlarının, medyaların ham veya EWF (Expert Witness Format) biçimlerinde kopyalarını alınmasına imkân sağlamaktadır. Daha ayrıntılı olarak, dd üzerine geliştirilmiş bir grafik arayüze sahip, dijital delil birebir kopyalama yazılımıdır. Daha çok Debian ve Ubuntu türü sistemlerde kullanılmak üzere geliştirilmiştir. Bilgisayara sonradan bağlanan medyalar üst bölümde sıralanır ve bu diskler üzerinde işlem yapılamaz. Böylece yanlış diskin kopyasının alınması önlenir. [16]

Diğer özellikleri;

• Farklı dil desteği ve kolay kullanım arayüzüne sahip olması,
• Sadece belirli Linux platformlarında çalışabilmesi.
• Hızlı ve aynı anda birden çok imaj alabilme özelliğine sahip olması,
• Çok işlemcili makinelerde bütün işlemcileri kullanabilme özelliğine sahip olması,
• Raw (dd), EWF (E01) ve AFF formatlarında imaj alabilme özelliğine sahip olması,
• Disk klonlama özelliğinin bulunması,
• Ücretsiz olması,
• MD5 ve SHA-256 algoritmalarını kullanarak hash değeri üretebilmesi,
• Alınan birebir kopyanın doğru olarak alınıp alınmadığının doğrulamasının yapılabilmesi,
• Alınan kopyayı istenilen boyutlarda parçalara bölebilmesi,
• Qt arayüzünü kullanmasıdır.

Örnek:

3.3.12.iPhone Backup Analyzer

iPhone yedekleme klasörüne göz atmak için tasarlanmış bir yardımcı programdır.

Örnek: root @ kali: ~ # iphone-backup-analizör

3.3.13.pdf-parser

Bu araç ile incelemek istediğimiz PDF belgesine çözümleme işlemi yapıyoruz.

Örnek: pdf-parser -a //root/Masaüstü/info.pdf

3.3.14.Peepdf

PDF dosyasının zararlı olup olmadığını öğrenmek için bir Python aracı olan peepdf dosyası kullanılır. Bu aracın amacı, bir güvenlik araştırmacısının tüm görevleri yapmak başka bir PDF analiz aracına  ihtiyaç duymadan, tüm gerekli bileşenleri sağlayarak inceleme yapmasını sağlamaktır. Peepdf sayesinde şüpheli unsurları gösteren belgedeki tüm nesneleri görmek mümkündür. En çok kullanılan filtreler ve kodlamaları destekler, farklı dosya sürümlerini, şifrelenmiş dosyaları ayrıştırmak ta kullanılabilmektedir. Bu tool ile yeni PDF dosyaları oluşturmak, mevcut olanları değiştirmek ve onları karartma işlemi yapabilirsiniz.[17]

3.3.15.chkrootkit

Chkrootkit aracı ile linux /unix sistemlere yerleşmiş rootkitleri tespit etmek için geliştirilmiştir. Chkrootkit aracı bilinen rootkit yazılımlarını tespit edebilmektedir. Chkrootkit Komutu ile araç çalıştırılır ve ekrana tarama sonuçlarını verir.

Örnek:

• Searching for Mithra… nothing found
• Searching for LOC rootkit… nothing found
• Searching for Romanian rootkit… nothing found
• Searching for HKRK rootkit… nothing found
• Searching for Suckit rootkit… nothing found
• Searching for Volc rootkit… nothing found
• Searching for Gold2 rootkit… nothing found

3.4.Kali Linux Terimler Sözlüğü

• Offensive Security: Saldırı tarafından bakılarak güvenliği sağlama
• Pentest: Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılması
• Audit: Denetim gnome,kde= Linux sistemlerde grafik arayüzü yazılımlarının isimleri
• Mount Etmek: Sistemin yüklü olduğu dosya sisteminin dışında ikinci bir disk, CDROM, DVD, iso vs. eklemek.
• Log Takibi: Sistemde yapılan işlemlerin izlerinin takibi
• Regex: Düzenli ifadeler
• Pentest Dizini: Sistemde bulunan çoğu programın düzenli bir şekilde yer aldığı ana dizin
• DHCP: tcp/ip üstünden ağda otomatik olarak ip,subnetmask,default gateway dağıtma işlemi.
• SSH: (secure shell) bilgisayar-bilgisayar, bilgisayar-sunucu, sunucu-sunucu bağlantılarında güvenli iletişimi sağlar.
• Kernel Thread: Çekirdek iş parçacığı
• Salt: Şifrelere yazılım tarafından eklenen rastgele değerlere verilen isim.
• Rootkit: Çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar grubudur.

KAYNAKÇA

• [1] Web: https://tr.wikipedia.org/wiki/Kali_Linux, Erişim Tarihi: 10 Aralık 2015
• [2] İNCE, M.D., URHAN, Ö.F., Kali ve Linux’e Giriş.Pdf , 2013, Ankara
• [3] Bilgi Güvenliği Akademisi, Kali Linux.Pdf, 2012, Ankara
• [4] YAVUZ, O., Kali Linux ve Pentest Eğitim Serisi Başlangıç Seviyesi.Pdf , 2011
• [5] Web: http://www.karabulut.co/penetrasyon-bilgi-toplama, Erişim Tarihi: 08 Aralık 2015
• [6] Web: http://www.mshowto.org/bilgi-guvenliginde-vulnerability-assessment-ve-penetration-test-nedir-ne-amacla-kullanilir.html, Erişim Tarihi: 01 Aralık 2015
• [7] http://help.tutevlinux.com/72/kali-linux-araçları-nelerdir, Erişim Tarihi: 22 Aralık 2015
• [8] Web: http://dc3dd.sourceforge.net, Erişim Tarihi: 15 Aralık 2015
• [9] Web: http://dcfldd.sourceforge.net, Erişim Tarihi: 20 Aralık 2015
• [10]Web: http://sourceforge.net/projects/air-imager, Erişim Tarihi: 23 Aralık 2015
• [11]Web: http://www.forensicswiki.org/wiki/AFF, Erişim Tarihi: 23 Aralık 2015
• [12]Web: http://www.gnu.org/software/ddrescue/ddrescue.html, Erişim Tarihi: 19 Aralık 2015
• [13]Web: https://code.google.com/p/distorm, Erişim Tarihi: 25 Aralık 2015
• [14] Web: http://extundelete.sourceforge.net, Erişim Tarihi: 27 Aralık 2015
• [15] Web: http://foremost.sourceforge.net, Erişim Tarihi: 30 Aralık 2015
• [16]Web: Guymager, http://guymager.sourceforge.net, Erişim Tarihi: 30 Aralık 2015
• [17] Web: http://eternal-todo.com/tools/peepdf-pdf-analysis-tool, Erişim Tarihi:01 Aralık 2015

Not: Pardus Hakkındaki diğer makaleme bu adresten ulaşabilirsiniz. https://fatihberber.com/pardus-isletim-sistemi-uzerine-bir-arastirma/