Huzeyfe Önal - Siber Savunma Sistemlerinde Profesyonel Arka Kapılar
3 likes1,050 views
Huzeyfe Önal - Siber Savunma Sistemlerinde Profesyonel Arka Kapılar
- 1. Siber Savunma Sistemlerinde Profesyonel Arka Kapılar BGA Bilgi Güvenliği A.Ş. Huzeyfe.onal@bga.com.tr E-‐Crime Turkey -‐ Bilişim Zivesi Siber Güvenlik Huzeyfe ÖNAL K2o0n1f2e ransı -‐ 2014
- 2. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k Huzeyfe ÖNAL 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Kurumsal Bilgi Güvenliği Hizmetleri Yöne=cisi @BGA • Penetra=on Tester • Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ • Öğre=m Görevlisi Bilgi / Bahçeşehir Üniversitesi
- 3. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k Bilgilendirme 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Sunumda geçen tüm “görseller” arama motorları kullanılarak açık kaynaklar üzerinden elde edilmiş=r, konuşmacının kendi fikirleri/yorumları değildir, kesin doğruluk payına sahip değildir.
- 4. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k Ajanda 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Siber güvenliğin önemi ve güncel durum • Siber savunma amaçlı kullanılan sistemler ve özellikleri • Siber savunma ürünlerinde arka kapılar • Teknolojik çözüm yolları • Siyasi ve idari çözüm önerileri
- 5. Siber Dünya Dün… Bugün… Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014
- 6. Siber Güvenliğe Verilen Önem #Obama Obama’nın dilinden siber güvenlik • It’s been es)mated that last year alone cyber criminals stole intellectual property from businesses worldwide worth up to $1 trillion. • In short, America’s economic prosperity in the 21st century will depend on cyber security. • Siber güvenlik stratejisini tamamlamış ülkeler BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr – Hindistan, İngiltere, Çin, Almanya, USA, Kore… • Türkiye’de durum. – 2002-‐2011 < 2012-‐2013 6
- 7. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k #NSA #Snowden 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 8. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k #Siber Suç 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 9. Kullanılan Siber Savunma Sistem ve Yazılımları • Firewall BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr (Güvenlik Duvarı) • IDS/IPS (Saldırı Tespit ve Engelleme Sistemi) • WAF (Web Applica=on Firewall) • DoS/DDoS Engelleme Sistemleri • An=-‐Virüs/An=-‐Spam • DLP (Data Leakage Preven=on) • Log ve Monitoring Sistemleri • İnsan
- 10. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 11. Türkiye’de Siber Savunma Sistemleri #2013 • Ağırlığı kamu kurumları olmak üzere 100 farklı kurumda yapılan “resmi olmayan” araşjrmalar sonucu: • Türkiye’de siber güvenlik bilinci 2011 öncesi ve 2011 sonrası olmak üzere iki döneme ayrılır • Kamu kurumları ilk defa 202 yılı i=bariyle siber güvenlik zafiyetleri dolayısıyla zor durumda kalmışjr, siber saldırılar sonrası görevden almalar olmuştur. • Nerelerde ne oranda kullanılıyor, outsource meselesi, herhangi bir kontrol var mi? • Cloud BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr a aktaranlar?
- 12. Yerli/Yabancı Siber Savunma Ürünleri BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k Yerli – Yabancı Siber Savunma Ürünleri Oranı Yerli Ürün Yabancı Ürün 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr 3% 97%
- 13. Ülkelere Göre Dağılım 60 50 40 30 20 10 BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr 0 İsrail Amerika Avrupa Ülkeleri Diğerleri Series1
- 14. Açık Kaynak Kod Sistem Kullanımı BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Ticari sistemler içinde kullanılan açık kaynak kod yazılımların oranı yaklaşık olarak %30 • Bağımsız olarak açık kaynak kod yazılım/sistem kullanım oranı %6 • Genel olarak açık kaynak kodlu sistemler daha fazla bilgi ve uğraşı istediği için bağımsız kullanım oranları oldukça düşük çıkmışjr.
- 15. Siber Savunma Sistemlerinde Arka Kapılar • Paranoya BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr mı gerçek mi? – Yoklama! • Güvenlik ürünleri ne kadar güvenilir? • Her teknoloji üre=cisi üretği teknolojinin bir gün ulusal çıkarları için kullanacağını düşünerek üretmektedir. – Üre=ci bunu düşünmese de yaşadığı ülkenin kanunları bunun talep etmektedir. • Arka kapılar kimi zaman güvenlik zafiye= kılığına bürünür kimi zaman kullanım kolaylığı bahanesine sığınır.
- 16. Dünya’dan Haberler BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 17. #NSA Örtülü Ödenek Harcamaları BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 18. Backdoor Yarışında Diğer Ülkeler… BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 19. #Backdoor Yerleş=rme Senaryoları BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Genellikle yazılımsal arka kapılarla karşılaşırdık • Yazılımın herkes taravndan kolaylıkla üre=lmesi ve açık olması nedeniyle son 5 yıldır donanımsal tabanlı çözümlerin tercih edildiği görülmektedir. • Üre=ci firmayı zor durumda bırakmamak ve savunma taravnda söz hakkı tanımak amacıyla üre=ciden alınan cihazlar sınırda tekrar açılarak içlerine ilgili arka kapılar yerleş=rilmekte ve talep edildiğinde farklı kanallardan bilgi aktaracak şekilde yapılandırılmaktadır.
- 20. #NSA ANT Kataloğu hwp://en.wikipedia.org/wiki/NSA_ANT_catalog hwp://en.wikipedia.org/wiki/NSA_ANT_catalog BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 21. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 22. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 23. İyi Niyetli Arka Kapılar… BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Bazı güvenlik firmaları uzaktan erişimi kolaylaşjrma amaçlı geliş=rdikleri sistemlere “iyi niyetli” tespi= zor arka kapılar yerleş=rmektedir. • Bu =p networksel arka kapılar yeni nesil güvenlik sistemleri (Port Bağımsız Protokol Tanıma Özelliği olan) taravndan istenildiğinde kolaylıkla farkedilebilecek=r.
- 24. Barracuda SMTP/SSH Backdoor Detay BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 25. Güvenlik Zafiye= Kılığına Bürünmüş Arka Kapılar BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 26. #Heartbleed Gerçek mi? BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Hajrlayacak olursak… • Çok kullanılan açık kaynak kodlu şifreleme kütüphanesi OpenSSL’de çıkan bu zafiyet kullanılarak uzaktan tüm güvenlik sistemlerini atlatarak hedef işle=m sisteminin (mobil/vpn/voip phone/Linux/VPN vs) ön belleğindeki hassas verilere erişilebiliyordu… – Son 10 yılda çıkmış en “temiz” is=smar edilecek açık • Bu ve benzeri açıklıklar güvenlik uzmanlarında ciddi şüphe uyandırmaktadır
- 27. Ağ Tabanlı Görünmez Arka Kapı Tasarımı • Genel adı port knocking olarak bilinir BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Daha çok uzaktan özel durumlarda port/servis açmak ve komut çalışjrmak için kullanılır • Güvenlik duvarı, IPS gibi backbone sistemleri üzerinde de kurulabilir bunların arkasındaki sistemlerde de kurulabilir. • Dışardan bakıldığında tamamen kapalı olan sistem alacağı özel sıralamalı paketlerle sahibine tüm sistemi belirli zaman dilimi için açabilir, sistemi uzaktan silebilir…
- 28. Pasif Arka Kapı İşlemi için Tasarım BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 29. Port Knocking Örnek BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr
- 30. Nasıl Tespit Edilir? BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Snowden taravndan sızdırılan belgeler detaylıca incelendiğinde bu işin kolay bir tespit yöntemi olamayacağı ortaya çıkmaktadır. • Bilgileri sızdırmak için milyonlarca dolar yajrım yapan bir güce karşı aynı manjkla hareket etmek en doğru çözüm olacakjr. • Gelişmiş ülkeler aldıkları her yabancı teknolojiyi üniversite ve özel sektörün de içinde bulunduğu bağımsız bir grup taravndan detaylı teste tabi tutar ve bu çalışmanın çıkjsına göre teknolojinin kullanımına izin verir.
- 31. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k Çözüm Önerileri 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Kamu sistemlerine alınacak güvenlik ürünlerinde kaynak kodu paylaşmayı zorunlu hale ge=recek maddelerin eklenmesi. – Yerli üre=mi ve yabancı firmaların yerli Ar-‐ge merkezlerine taşınmasına da destek olacakjr. • Siber güvenlik amaçlı kullanılacak yazılım/ donanımların “bağımsız” firma/kurumlar taravndan detay testlere tabi tutularak ser=fikalandırılması. – Siber Güvenlik Stratji Belgesi No:x
- 32. Çözüm Önerileri-‐II BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Açık Kaynak kodlu ağ göze=m ve anormalliktespit sistemlerinin kullanımı – Snort, Suricata, BroIDS • Gelişmiş Loglama ve Analiz Sistemi – E-‐L-‐K-‐O (Elas=csearch, Logstash, Kibana, Ossec) • FPC sistemlerinin kullanımı – Disk maliye=
- 33. FPC – Full Packet Capture BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Ağa Giren-‐çıkan tüm paketlerin sonradan kullanılmak üzere kaydedilmesi işlemi – Disk kapasitesi problemi vardır • Programlanmış ağ ve güvenlik sistemleri (Router, firewall IPS vs vs) sadece belirli şartlara uyan paketleri yakalama/kaydetme manjğıyla çalışjkları için RFC uyumsuz özel işlemler için üre=lmiş trafiği yakalayamazlar.
- 34. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k Sonuç 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr • Üre=lemeyen veya tüm kaynak kod/proje detaylarına sahip olmadan alınacak teknolojik sistemlerle “gerçek güvenlik” sağlanamaz.
- 35. BilişimEM Bilişim Zivesi ZiEvAe IsENi-‐ TCSEribLimLeIrGe Siber GE Güvenlik NTüuCvErek -‐ne 2lyi0k İle=şim Bilgileri • www.lifeoverip.net 1-‐ KK22 oo0/nn 1İSff2eeT ArraaNnnBssUıı L-‐-‐ 22001144 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr Blog • Blog.bga.com.tr • @bgasecurity • @huzeyfeonal • @linuxakademi Twiwer İle=şim • Huzeyfe.onal@bga.com.tr