Veritabanı yönetim sistemlerine yönelik bağlantı sonrası saldırılar / Ahmet Selim Kaya ; thesis advisor Ali Aydın Selçuk.

Tez (Yüksek Lisans Tezi)--TOBB ETÜ Fen Bilimleri Enstitüsü Aralık 2020

Son yıllarda veri kullanımının ve miktarının artmasıyla birlikte veritabanı yönetim sistemleri de önem kazanmıştır. Teknoloji, sağlık, finans, eğlence, vb gibi birçok sektörde sıklıkla kullanılması ve kritik öneme sahip veri barındırması ile birlikte veritabanı sistemlerine yapılan saldırılar da günden güne artış göstermektedir. Yapılan literatür taramasının ardından akademideki çalışmaların ağırlıklı olarak saldırı tespit sistemleri ve savunma yöntemleri üzerine yapıldığı, saldırı üzerine yapılan çalışmaların ise bir sistem özelinde değil genel geçer yöntemleri içerdiği tespit edilmiştir. Bundan dolayı bu çalışmada sisteme özgü saldırı yöntemleri incelenerek akademiye katkı vermek amaçlanmıştır. Bu çalışmada, dünya genelinde sıklıkla kullanılan veritabanı yönetim sistemlerinden olan MySQL, PostgreSQL ve Microsoft SQL Server ürünleri, veritabanına başarılı bir şekilde erişim sağlayan ve ardından sistemi tamamen ele geçirmek isteyen bir saldırganın gözünden incelenmiştir. Bu doğrultuda ilgili sistemlerin kimlik doğrulama mekanizmaları ve denetimleri, veri içe-dışa aktarım mekanizmaları, veritabanı programı içerisinde sunmuş oldukları işlevler, bu işlevlerin denetimleri ve nasıl kötüye kullanılabileceği, potansiyel saldırı yüzeyleri incelenmiştir. Ardından tespit edilen zayıflıklara yönelik saldırılar incelenmiş ve uygulamalı bir şekilde gerçekleştirilmiştir. Sonraki adım olarak, Türkiye'de bu veritabanı yönetim sistemlerini kullanan sistemlerin IP adresleri siber tehdit istihbarat platformları tarafından elde edilmiş, bu sistemlere yönelik güvenlik taramaları gerçekleştirilmiştir. Tarama denetimlerinin daha hızlı bir şekilde gerçekleştirilebilmesi için, tarafımızca bu tez çalışmasına yönelik olarak Zephyr adlı bir araç geliştirilmiş ve kullanılmıştır. Bu aracın çalışma mekanizmaları tanıtıldıktan sonra, elde edilen IP adreslerine yönelik gerçekleştirilen taramaların sonuçları değerlendirilmiştir. Son olarak, yapılan araştırmalar ve tarama sonuçları ışığında ilgili veritabanı yönetim sistemi değerlendirilmiş, çok iyi yaptıkları veya eksik oldukları yönler tartışılmıştır.

With the increase in the use and amount of data in recent years, database management systems have also gained importance. As it is frequently used in many sectors such as technology, health, finance, entertainment, etc. and contains critical data, attacks on database systems are increasing day by day. After the literature review, it was determined that the studies in the academy were mainly focused on intrusion detection systems and defense methods, and the studies on the attack included common methods rather than system-spesific tecniques. Therefore, this study aims to contribute to the academy by examining system-specific attack methods. In this study, MySQL, PostgreSQL and Microsoft SQL Server products, which are among the frequently used database management systems around the world, were examined from the point of view of an attacker who successfully accessed the database and then desired to take over the system completely. In this direction, the authentication mechanisms and controls, data import-export mechanisms, the functions they offer within the database program, the controls of these functions and how they can be abused, potential attack surfaces have been examined. Then, the attacks against the detected weaknesses were examined and implemented in a practical manner. As a next step, the IP addresses of systems that use this database management systems in Turkey obtained by cyber threat intelligence platforms, and security investigation for these systems was carried out. A tool called Zephyr has been developed and used by us for this thesis study in order to carry out scanning inspections faster. After the working mechanisms of this tool were introduced, the results of the scans made for the obtained IP addresses were evaluated. Finally, the relevant database management systems were evaluated in the light of the research and scanning results, and the aspects they did very well or they lacked were discussed.