XÜLASƏ İstənilən kiber-hücumun ilk mərhələsi olan kəşfiyyat fəaliyyətinin əsas məqsədi hədəf sistem və ya şəbəkədəki zəif nöqtələri, başqa sözlə, zəiflikləri aşkar etməkdir. Bir zəifliyi və ya həssas nöqtəni açıqlaya biləcəyindən, kəşfiyyat zamanı hədəf haqqında toplana biləcək ən kiçik verilənlər bitləri belə hücumçu üçün vacibdir. Kəşfiyyat fəaliyyəti kiber-hücum prosesinin vaxt və böyük vəsait tələb edən ən uzun və ən zəhmətli mərhələsidir. Uğurlu bir kəşfiyyat nəticəsində hücumçular şəbəkənin ətraflı bir xəritəsindən əlavə sistemlərdəki zəifliklər haqqında hərtərəfli məlumatları da əldə etmiş olurlar. GİRİŞ Kiber-hücumun ilk mərhələsi olan kəşfiyyat fəaliyyəti öz-özlüyündə üç mərhələyə ayrılır: İzləmə (Footprinting), Skan etmə (Scanning) və Siyahılama (Enumeration). Hər bir mərhələ və işlədilən vasitələr davam edən hissələrdə bir-bir araşdırılacaq. İzləmə (Footprinting). Footprinting hücumdan əvvəl əsas mərhələnin bir hissəsidir, burada hücum ediləcək mühitə zorla daxil olmaq üçün vasitələr axtarılır və hədəf haqqında mümkün qədər çox məlumatın toplanması nəzərdə tutulur. Bu üsul hücumçuların kompüter sistemi və ya ona sahib olan müəssisələr haqqında məlumat toplamasının ən asan yoludur. Bu hazırlıq mərhələsinin məqsədi sistem haqqında mümkün qədər çox məlumat toplamaq, uzaqdan giriş imkanları haqqında öyrənmək, portlar, xidmətlər və təhlükəsizlik haqqında xüsusi məlumatları əldə etməkdir. Bu məlumat zəiflikləri və ya istifadə edilə bilən sahələri göstərməklə hücumçulara kömək edir. Açıq mənbə və ya passiv məlumat toplanması məlumat toplamanın ən asan yoludur, çünki hədəf qurumlar və ya sistemlər birbaşa əlaqə saxlamır. Açıq mənbələr qazetlər, televizor, sosial şəbəkələr, bloqlar, axtarış motorları və s. kimi sıralanır. Onlardan istifadə etməklə hədəf müəssisə və ya qurumun şəbəkə sərhədləri, istifadə olunan IP ünvanları, əməliyyat sistemləri, girişə nəzarət mexanizmləri, sistem strukturu, müdaxilənin aşkarlanması sistemləri kimi məlumatlara daxil olmaq mümkündür. Veb-brauzerin köməyi ilə təcavüzkar müəssisənin IP ünvanını, domen adını, ayrılmış IP diapazonunu, əlaqə e-poçt ünvanlarını, telefon nömrələrini və DNS serverinin ünvanını tapa bilər. TƏDQİQAT METODU Zibil qutusunu qarışdırmaq (Dumpster diving). Müəssisələr və ya qurumlar istifadəsiz cihazları öz anbarlarında saxlamaq, məhv etmək, zibil qutusuna atmaq və ya ikinci əl satış kimi müxtəlif üsullarla məhv edirlər. Xüsusilə, informasiya sistemlərinin cihaz və hissələrini əldən çıxarmaq informasiya təhlükəsizliyi baxımından risklər yarada bilər. Köhnə saxlama qurğuları və kompüterlər vasitəsilə hücumçular qurumun və ya biznesin daxili strukturundan parollara qədər bir çox məlumat əldə edə bilirlər. Digər tərəfdən hücumçular bir şirkət haqqında məlumat toplamaq üçün Facebook, Linkedin və Google kimi brauzerlərdən istifadə edə bilərlər. Şirkətin və ya işçilərin məlumat paylaşma dərəcəsindən asılı olaraq, hücum üçün istifadə edilə biləcək bir çox məlumat bu sosial media platformalarından da əldə edilə bilər. Skan etmə (Scanning). Footprinting-dən sonrakı mərhələdə gələn skan, məlumat toplamaq üçün daha çox istifadə olunan bir üsuldur. Hücumçular şəbəkədəki istifadəçilər və işləyən xidmətlər haqqında məlumat toplamaq üçün skan alətlərindən istifadə edirlər. Təcavüzkarların şəbəkələri və sistemləri skan etmək üçün istifadə etdiyi bəzi üsullar aşağıda verilmişdir;
  • Açıq portlar axtarmaq. Açıq portlardan istifadə edərək hücum edə bilərlər.
  • Şəbəkə giriş nöqtələri axtarmaq. Bu, təcavüzkar üçün şəbəkəyə giriş nöqtəsi kimi istifadə edilə bilər və ya hücum DoS hücumu ilə sistemi qeyri-işlək edə bilər.
  • Xüsusi portlarda dinləyən proqramların tapılması. Portları dinləyən proqram təminatı ilə təcavüzkar paketin məzmununu, paketlərin yerini və istiqamətini görə bilər və hədəf haqqında daha çox məlumat əldə edə bilər. Şəbəkənin əhatə dairəsini müəyyən edin. Bu, hansı hostların şəbəkənin hansı məntiqi sahəsində olması barədə məlumatları, bəzən hətta hostların fiziki ünvan məlumatlarını əldə etməyə imkan verir.
  • Şəbəkədəki hostların əməliyyat sistemlərini aşkar etmək üçün. Hücumçu əməliyyat sistemlərinə hücum təşkil etməsinə kömək edəcək məlumatları təqdim edir. Sıralama (Enumertion). Kəşfetmə fəaliyyətinin son mərhələsi sıralama (enumeration) fəaliyyətidir. Təcavüzkar əməliyyat sistemləri və ya şəbəkədəki bütün məlumatları sıralayır və aşkar etməyə çalışır. O, şəbəkə resursları, paylaşımlar, istifadəçilər, qruplar, tətbiq bannerləri kimi elementləri aşkar etməyə çalışır və şəbəkənin ümumi strukturunu və zəifliklərini aşkarlamağa çalışır. Təcavüzkarlar şəbəkəni xəritələşdirmək üçün siyahıdan istifadə edirlər. Siyahıda istifadə olunan bəzi üsullar aşağıda verilmişdir.
  • DNS serverlərinin sorğulanması. DNS serverləri kəşf üçün çox yaxşı hədəfdir, çünki düzgün qorunmasa, onlar təşkilatın bütün şəbəkə infrastrukturunun ətraflı xəritəsini təqdim edə bilərlər.
  • Şəbəkədə Sadə Şəbəkə İdarəetmə Protokolu (SNMP) cihazlarının siyahısı. Zəif qorunan SNMP protokolu təcavüzkarın cihazı zərərli şəkildə manipulyasiya etməyə imkan verir.
  • Hostun Şəbəkə Əsas Giriş/Çıxış Sisteminin (NetBIOS) adının kəşfi.
  • Etibarsız NetBIOS sessiyası yaradılır. Bu proses hücumçunun istifadəçi adı və parola ehtiyac olmadan uzaqdan hosta daxil olmasına imkan verir. Buradan onlar siyasətləri, qrupları və digər domen məlumatlarını oxuya bilərlər.
  • Active Directory kimi domen kataloqlarının siyahısı. Təcavüzkar təhlükəsizliyi zəif olan istifadəçi hesabını və ya şəbəkə paylaşımını aşkar edərsə, ondan təyinatı üzrə digər sistemlərə daxil olmaq üçün istifadə edə bilər.
  • Əməliyyat sistemlərini aşkar etmək üçün fingerprinting etmək. Fingerprinting hücum üsulu deyil, yalnız qarşı sistem haqqında məlumat verir və hücum üçün düzgün seçimlər etməyə imkan verir. Hücum ediləcək cihazların əməliyyat sistemi, onlarda işləyən proqramlar, əməliyyat sisteminin versiyası kimi məlumatlar sayəsində qarşı sisteminin təhlükəsizlik zəiflikləri asanlıqla aşkarlana və hücumlar həyata keçirilə bilər.