Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 E-‐Crime Turkey -‐ 2012
Siber Savunma Sistemlerinde Profesyonel Arka Kapılar
Huzeyfe ÖNAL BGA Bilgi Güvenliği A.Ş.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Huzeyfe ÖNAL • Kurumsal Bilgi Güvenliği Hizmetleri Yöne=cisi @BGA • Penetra=on Tester • Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ
• Öğre=m Görevlisi Bilgi / Bahçeşehir Üniversitesi
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Bilgilendirme • Sunumda geçen tüm “görseller” arama motorları kullanılarak açık kaynaklar üzerinden elde edilmiş=r, konuşmacının kendi fikirleri/yorumları değildir, kesin doğruluk payına sahip değildir.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Ajanda • Siber güvenliğin önemi ve güncel durum • Siber savunma amaçlı kullanılan sistemler ve özellikleri
• Siber savunma ürünlerinde arka kapılar • Teknolojik çözüm yolları • Siyasi ve idari çözüm önerileri
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Siber Dünya Dün… Bugün…
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Siber Güvenliğe Verilen Önem #Obama Obama’nın dilinden siber güvenlik
• It’s been es)mated that last year alone cyber criminals stole intellectual property from businesses worldwide worth up to $1 trillion.
• In short, America’s economic prosperity in the 21st century will depend on cyber security.
• Siber güvenlik stratejisini tamamlamış ülkeler – Hindistan, İngiltere, Çin, Almanya, USA, Kore…
• Türkiye’de durum. – 2002-‐2011 < 2012-‐2013
6
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
#NSA #Snowden
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
#Siber Suç
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Kullanılan Siber Savunma Sistem ve Yazılımları • Firewall (Güvenlik Duvarı) • IDS/IPS (Saldırı Tespit ve Engelleme Sistemi) • WAF (Web Applica=on Firewall) • DoS/DDoS Engelleme Sistemleri • An=-‐Virüs/An=-‐Spam • DLP (Data Leakage Preven=on) • Log ve Monitoring Sistemleri • İnsan
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Türkiye’de Siber Savunma Sistemleri #2013 • Ağırlığı kamu kurumları olmak üzere 100 farklı kurumda yapılan “resmi olmayan” araşjrmalar sonucu:
• Türkiye’de siber güvenlik bilinci 2011 öncesi ve 2011 sonrası olmak üzere iki döneme ayrılır
• Kamu kurumları ilk defa 202 yılı i=bariyle siber güvenlik zafiyetleri dolayısıyla zor durumda kalmışjr, siber saldırılar sonrası görevden almalar olmuştur.
• Nerelerde ne oranda kullanılıyor, outsource meselesi, herhangi bir kontrol var mi?
• Cloud a aktaranlar?
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Yerli/Yabancı Siber Savunma Ürünleri
3%
97%
Yerli – Yabancı Siber Savunma Ürünleri Oranı Yerli Ürün Yabancı Ürün
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Ülkelere Göre Dağılım
0
10
20
30
40
50
60
İsrail Amerika Avrupa Ülkeleri Diğerleri
Series1
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Açık Kaynak Kod Sistem Kullanımı • Ticari sistemler içinde kullanılan açık kaynak kod yazılımların oranı yaklaşık olarak %30
• Bağımsız olarak açık kaynak kod yazılım/sistem kullanım oranı %6
• Genel olarak açık kaynak kodlu sistemler daha fazla bilgi ve uğraşı istediği için bağımsız kullanım oranları oldukça düşük çıkmışjr.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Siber Savunma Sistemlerinde Arka Kapılar • Paranoya mı gerçek mi? – Yoklama!
• Güvenlik ürünleri ne kadar güvenilir? • Her teknoloji üre=cisi üretği teknolojinin bir gün ulusal çıkarları için kullanacağını düşünerek üretmektedir. – Üre=ci bunu düşünmese de yaşadığı ülkenin kanunları bunun talep etmektedir.
• Arka kapılar kimi zaman güvenlik zafiye= kılığına bürünür kimi zaman kullanım kolaylığı bahanesine sığınır.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Dünya’dan Haberler
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
#NSA Örtülü Ödenek Harcamaları
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Backdoor Yarışında Diğer Ülkeler…
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
#Backdoor Yerleş=rme Senaryoları • Genellikle yazılımsal arka kapılarla karşılaşırdık • Yazılımın herkes taravndan kolaylıkla üre=lmesi ve açık olması nedeniyle son 5 yıldır donanımsal tabanlı çözümlerin tercih edildiği görülmektedir.
• Üre=ci firmayı zor durumda bırakmamak ve savunma taravnda söz hakkı tanımak amacıyla üre=ciden alınan cihazlar sınırda tekrar açılarak içlerine ilgili arka kapılar yerleş=rilmekte ve talep edildiğinde farklı kanallardan bilgi aktaracak şekilde yapılandırılmaktadır.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
#NSA ANT Kataloğu
hwp://en.wikipedia.org/wiki/NSA_ANT_catalog
hwp://en.wikipedia.org/wiki/NSA_ANT_catalog
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
İyi Niyetli Arka Kapılar… • Bazı güvenlik firmaları uzaktan erişimi kolaylaşjrma amaçlı
geliş=rdikleri sistemlere “iyi niyetli” tespi= zor arka kapılar yerleş=rmektedir.
• Bu =p networksel arka kapılar yeni nesil güvenlik sistemleri (Port Bağımsız Protokol Tanıma Özelliği olan) taravndan istenildiğinde kolaylıkla farkedilebilecek=r.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Barracuda SMTP/SSH Backdoor Detay
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Güvenlik Zafiye= Kılığına Bürünmüş Arka Kapılar
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
#Heartbleed Gerçek mi? • Hajrlayacak olursak… • Çok kullanılan açık kaynak kodlu şifreleme kütüphanesi OpenSSL’de çıkan bu zafiyet kullanılarak uzaktan tüm güvenlik sistemlerini atlatarak hedef işle=m sisteminin (mobil/vpn/voip phone/Linux/VPN vs) ön belleğindeki hassas verilere erişilebiliyordu… – Son 10 yılda çıkmış en “temiz” is=smar edilecek açık
• Bu ve benzeri açıklıklar güvenlik uzmanlarında ciddi şüphe uyandırmaktadır
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Ağ Tabanlı Görünmez Arka Kapı Tasarımı • Genel adı port knocking olarak bilinir • Daha çok uzaktan özel durumlarda port/servis açmak ve komut çalışjrmak için kullanılır
• Güvenlik duvarı, IPS gibi backbone sistemleri üzerinde de kurulabilir bunların arkasındaki sistemlerde de kurulabilir.
• Dışardan bakıldığında tamamen kapalı olan sistem alacağı özel sıralamalı paketlerle sahibine tüm sistemi belirli zaman dilimi için açabilir, sistemi uzaktan silebilir…
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Pasif Arka Kapı İşlemi için Tasarım
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Port Knocking Örnek
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Nasıl Tespit Edilir? • Snowden taravndan sızdırılan belgeler detaylıca incelendiğinde bu işin kolay bir tespit yöntemi olamayacağı ortaya çıkmaktadır.
• Bilgileri sızdırmak için milyonlarca dolar yajrım yapan bir güce karşı aynı manjkla hareket etmek en doğru çözüm olacakjr.
• Gelişmiş ülkeler aldıkları her yabancı teknolojiyi üniversite ve özel sektörün de içinde bulunduğu bağımsız bir grup taravndan detaylı teste tabi tutar ve bu çalışmanın çıkjsına göre teknolojinin kullanımına izin verir.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Çözüm Önerileri • Kamu sistemlerine alınacak güvenlik ürünlerinde kaynak kodu paylaşmayı zorunlu hale ge=recek maddelerin eklenmesi. – Yerli üre=mi ve yabancı firmaların yerli Ar-‐ge merkezlerine taşınmasına da destek olacakjr.
• Siber güvenlik amaçlı kullanılacak yazılım/donanımların “bağımsız” firma/kurumlar taravndan detay testlere tabi tutularak ser=fikalandırılması. – Siber Güvenlik Stratji Belgesi No:x
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Çözüm Önerileri-‐II • Açık Kaynak kodlu ağ göze=m ve anormalliktespit sistemlerinin kullanımı – Snort, Suricata, BroIDS
• Gelişmiş Loglama ve Analiz Sistemi – E-‐L-‐K-‐O (Elas=csearch, Logstash, Kibana, Ossec)
• FPC sistemlerinin kullanımı – Disk maliye=
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
FPC – Full Packet Capture • Ağa Giren-‐çıkan tüm paketlerin sonradan kullanılmak üzere kaydedilmesi işlemi – Disk kapasitesi problemi vardır
• Programlanmış ağ ve güvenlik sistemleri (Router, firewall IPS vs vs) sadece belirli şartlara uyan paketleri yakalama/kaydetme manjğıyla çalışjkları için RFC uyumsuz özel işlemler için üre=lmiş trafiği yakalayamazlar.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
Sonuç • Üre=lemeyen veya tüm kaynak kod/proje detaylarına sahip olmadan alınacak teknolojik sistemlerle “gerçek güvenlik” sağlanamaz.
Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
İle=şim Bilgileri
• www.lifeoverip.net • Blog.bga.com.tr Blog
• @bgasecurity • @huzeyfeonal • @linuxakademi
Twiwer
• [email protected] İle=şim
Top Related