Katil

Penteste başlamak için müşterimizin ofisine geliyoruz. Testimizin siyah kutu adımını zaten bitirmiştik. Şimdi gri ve beyaz kutu testlerini tamamlamayı planlıyoruz. Siyah kutu testi aşamasında uzaktan sıfır bilgiyle şirketin dışarı açık AR-GE uygulamasının admin yönetim paneline yetkisiz erişim sağlayıp istediğimiz değişikliği yapabildiğimiz halde, şirketin teknik müdürü nedense pek etkilenmemiş gibi bir hava çiziyor. Hem biraz garipsiyorum, hem de içten içe biraz kızıyorum. Portal üzerinde normalde oturum açınca gelmeyen admin paneli, Burpsuite üzerinden tekil adımlarla ilerleyince geçici olarak geliyordu ve biz POST isteklerini manipüle edebildiğimizi keşfetmiştik.

Teste başlarken ilk iş olarak “katil”i denemeye karar veriyorum. Katil dediğim “Cain & Abel” isimli neredeyse 20 yıllık bir yazılım. Yaptığı işlev ise ARP zehirlemesi, yani router ve istemcilerdeki ARP tablolarını değiştirerek akan trafiğin üstünden geçmesini sağlayan eski ama etkin bir Ortadaki-Adam yazılımı. Uygulamayı çalıştırıyorum. Normalde “Cain & Abel” SSL ile şifrelenmiş trafiği dinleyemez. Ancak IMAP, POP3, http, ftp trafiklerinde geçen şifreleri yakalar. Ayrıca birçok durumda VOIP telefon görüşmelerini bile yakaladığına tanık oluyorum.

Gerçekten de daha bir dakika geçmeden önüme şifreler düşmeye başlıyor. Bunlardan bir tanesi şirketin ihracat işlerini yürüttüğü en önemli e-postaya ait. Kimlik bilgileriyle ilgili e-postaya başarılı şekilde giriş yapıyorum. Ardından teknik müdür arkadaşı davet ediyorum ve canlı olarak e-posta sayfasını gösteriyorum. Kısa ama güçlü bir sessizlik yaşanıyor.