Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
1. Siber
Savunma
Sistemlerinde
Profesyonel
Arka
Kapılar
BGA
Bilgi
Güvenliği
A.Ş.
Huzeyfe.onal@bga.com.tr
E-‐Crime
Turkey
-‐
Bilişim
Zivesi
Siber
Güvenlik
Huzeyfe
ÖNAL
K2o0n1f2e
ransı
-‐
2014
2. BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
Huzeyfe
ÖNAL
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Kurumsal
Bilgi
Güvenliği
Hizmetleri
Yöne=cisi
@BGA
• Penetra=on
Tester
• Eğitmen
– Bilgi
Güvenliği
AKADEMİSİ
– Linux
AKADEMİ
• Öğre=m
Görevlisi
Bilgi
/
Bahçeşehir
Üniversitesi
3. BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
Bilgilendirme
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Sunumda
geçen
tüm
“görseller”
arama
motorları
kullanılarak
açık
kaynaklar
üzerinden
elde
edilmiş=r,
konuşmacının
kendi
fikirleri/yorumları
değildir,
kesin
doğruluk
payına
sahip
değildir.
4. BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
Ajanda
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Siber
güvenliğin
önemi
ve
güncel
durum
• Siber
savunma
amaçlı
kullanılan
sistemler
ve
özellikleri
• Siber
savunma
ürünlerinde
arka
kapılar
• Teknolojik
çözüm
yolları
• Siyasi
ve
idari
çözüm
önerileri
5. Siber
Dünya
Dün…
Bugün…
Bilişim
Zivesi
Siber
Güvenlik
Konferansı
-‐
2014
6. Siber
Güvenliğe
Verilen
Önem
#Obama
Obama’nın
dilinden
siber
güvenlik
• It’s
been
es)mated
that
last
year
alone
cyber
criminals
stole
intellectual
property
from
businesses
worldwide
worth
up
to
$1
trillion.
• In
short,
America’s
economic
prosperity
in
the
21st
century
will
depend
on
cyber
security.
• Siber
güvenlik
stratejisini
tamamlamış
ülkeler
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
– Hindistan,
İngiltere,
Çin,
Almanya,
USA,
Kore…
• Türkiye’de
durum.
– 2002-‐2011
<
2012-‐2013
6
11. Türkiye’de
Siber
Savunma
Sistemleri
#2013
• Ağırlığı
kamu
kurumları
olmak
üzere
100
farklı
kurumda
yapılan
“resmi
olmayan”
araşjrmalar
sonucu:
• Türkiye’de
siber
güvenlik
bilinci
2011
öncesi
ve
2011
sonrası
olmak
üzere
iki
döneme
ayrılır
• Kamu
kurumları
ilk
defa
202
yılı
i=bariyle
siber
güvenlik
zafiyetleri
dolayısıyla
zor
durumda
kalmışjr,
siber
saldırılar
sonrası
görevden
almalar
olmuştur.
• Nerelerde
ne
oranda
kullanılıyor,
outsource
meselesi,
herhangi
bir
kontrol
var
mi?
• Cloud
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
a
aktaranlar?
12. Yerli/Yabancı
Siber
Savunma
Ürünleri
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
Yerli
–
Yabancı
Siber
Savunma
Ürünleri
Oranı
Yerli
Ürün
Yabancı
Ürün
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
3%
97%
13. Ülkelere
Göre
Dağılım
60
50
40
30
20
10
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
0
İsrail
Amerika
Avrupa
Ülkeleri
Diğerleri
Series1
14. Açık
Kaynak
Kod
Sistem
Kullanımı
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Ticari
sistemler
içinde
kullanılan
açık
kaynak
kod
yazılımların
oranı
yaklaşık
olarak
%30
• Bağımsız
olarak
açık
kaynak
kod
yazılım/sistem
kullanım
oranı
%6
• Genel
olarak
açık
kaynak
kodlu
sistemler
daha
fazla
bilgi
ve
uğraşı
istediği
için
bağımsız
kullanım
oranları
oldukça
düşük
çıkmışjr.
15. Siber
Savunma
Sistemlerinde
Arka
Kapılar
• Paranoya
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
mı
gerçek
mi?
– Yoklama!
• Güvenlik
ürünleri
ne
kadar
güvenilir?
• Her
teknoloji
üre=cisi
üretği
teknolojinin
bir
gün
ulusal
çıkarları
için
kullanacağını
düşünerek
üretmektedir.
– Üre=ci
bunu
düşünmese
de
yaşadığı
ülkenin
kanunları
bunun
talep
etmektedir.
• Arka
kapılar
kimi
zaman
güvenlik
zafiye=
kılığına
bürünür
kimi
zaman
kullanım
kolaylığı
bahanesine
sığınır.
18. Backdoor
Yarışında
Diğer
Ülkeler…
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
19. #Backdoor
Yerleş=rme
Senaryoları
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Genellikle
yazılımsal
arka
kapılarla
karşılaşırdık
• Yazılımın
herkes
taravndan
kolaylıkla
üre=lmesi
ve
açık
olması
nedeniyle
son
5
yıldır
donanımsal
tabanlı
çözümlerin
tercih
edildiği
görülmektedir.
• Üre=ci
firmayı
zor
durumda
bırakmamak
ve
savunma
taravnda
söz
hakkı
tanımak
amacıyla
üre=ciden
alınan
cihazlar
sınırda
tekrar
açılarak
içlerine
ilgili
arka
kapılar
yerleş=rilmekte
ve
talep
edildiğinde
farklı
kanallardan
bilgi
aktaracak
şekilde
yapılandırılmaktadır.
23. İyi
Niyetli
Arka
Kapılar…
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Bazı
güvenlik
firmaları
uzaktan
erişimi
kolaylaşjrma
amaçlı
geliş=rdikleri
sistemlere
“iyi
niyetli”
tespi=
zor
arka
kapılar
yerleş=rmektedir.
• Bu
=p
networksel
arka
kapılar
yeni
nesil
güvenlik
sistemleri
(Port
Bağımsız
Protokol
Tanıma
Özelliği
olan)
taravndan
istenildiğinde
kolaylıkla
farkedilebilecek=r.
25. Güvenlik
Zafiye=
Kılığına
Bürünmüş
Arka
Kapılar
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
26. #Heartbleed
Gerçek
mi?
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Hajrlayacak
olursak…
• Çok
kullanılan
açık
kaynak
kodlu
şifreleme
kütüphanesi
OpenSSL’de
çıkan
bu
zafiyet
kullanılarak
uzaktan
tüm
güvenlik
sistemlerini
atlatarak
hedef
işle=m
sisteminin
(mobil/vpn/voip
phone/Linux/VPN
vs)
ön
belleğindeki
hassas
verilere
erişilebiliyordu…
– Son
10
yılda
çıkmış
en
“temiz”
is=smar
edilecek
açık
• Bu
ve
benzeri
açıklıklar
güvenlik
uzmanlarında
ciddi
şüphe
uyandırmaktadır
27. Ağ
Tabanlı
Görünmez
Arka
Kapı
Tasarımı
• Genel
adı
port
knocking
olarak
bilinir
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Daha
çok
uzaktan
özel
durumlarda
port/servis
açmak
ve
komut
çalışjrmak
için
kullanılır
• Güvenlik
duvarı,
IPS
gibi
backbone
sistemleri
üzerinde
de
kurulabilir
bunların
arkasındaki
sistemlerde
de
kurulabilir.
• Dışardan
bakıldığında
tamamen
kapalı
olan
sistem
alacağı
özel
sıralamalı
paketlerle
sahibine
tüm
sistemi
belirli
zaman
dilimi
için
açabilir,
sistemi
uzaktan
silebilir…
28. Pasif
Arka
Kapı
İşlemi
için
Tasarım
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
29. Port
Knocking
Örnek
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
30. Nasıl
Tespit
Edilir?
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Snowden
taravndan
sızdırılan
belgeler
detaylıca
incelendiğinde
bu
işin
kolay
bir
tespit
yöntemi
olamayacağı
ortaya
çıkmaktadır.
• Bilgileri
sızdırmak
için
milyonlarca
dolar
yajrım
yapan
bir
güce
karşı
aynı
manjkla
hareket
etmek
en
doğru
çözüm
olacakjr.
• Gelişmiş
ülkeler
aldıkları
her
yabancı
teknolojiyi
üniversite
ve
özel
sektörün
de
içinde
bulunduğu
bağımsız
bir
grup
taravndan
detaylı
teste
tabi
tutar
ve
bu
çalışmanın
çıkjsına
göre
teknolojinin
kullanımına
izin
verir.
31. BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
Çözüm
Önerileri
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Kamu
sistemlerine
alınacak
güvenlik
ürünlerinde
kaynak
kodu
paylaşmayı
zorunlu
hale
ge=recek
maddelerin
eklenmesi.
– Yerli
üre=mi
ve
yabancı
firmaların
yerli
Ar-‐ge
merkezlerine
taşınmasına
da
destek
olacakjr.
• Siber
güvenlik
amaçlı
kullanılacak
yazılım/
donanımların
“bağımsız”
firma/kurumlar
taravndan
detay
testlere
tabi
tutularak
ser=fikalandırılması.
– Siber
Güvenlik
Stratji
Belgesi
No:x
32. Çözüm
Önerileri-‐II
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Açık
Kaynak
kodlu
ağ
göze=m
ve
anormalliktespit
sistemlerinin
kullanımı
– Snort,
Suricata,
BroIDS
• Gelişmiş
Loglama
ve
Analiz
Sistemi
– E-‐L-‐K-‐O
(Elas=csearch,
Logstash,
Kibana,
Ossec)
• FPC
sistemlerinin
kullanımı
– Disk
maliye=
33. FPC
–
Full
Packet
Capture
BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Ağa
Giren-‐çıkan
tüm
paketlerin
sonradan
kullanılmak
üzere
kaydedilmesi
işlemi
– Disk
kapasitesi
problemi
vardır
• Programlanmış
ağ
ve
güvenlik
sistemleri
(Router,
firewall
IPS
vs
vs)
sadece
belirli
şartlara
uyan
paketleri
yakalama/kaydetme
manjğıyla
çalışjkları
için
RFC
uyumsuz
özel
işlemler
için
üre=lmiş
trafiği
yakalayamazlar.
34. BilişimEM
Bilişim
Zivesi
ZiEvAe
IsENi-‐
TCSEribLimLeIrGe
Siber
GE
Güvenlik
NTüuCvErek
-‐ne
2lyi0k
Sonuç
1-‐
KK22
oo0/nn
1İSff2eeT
ArraaNnnBssUıı
L-‐-‐
22001144
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
-‐
bga.com.tr
• Üre=lemeyen
veya
tüm
kaynak
kod/proje
detaylarına
sahip
olmadan
alınacak
teknolojik
sistemlerle
“gerçek
güvenlik”
sağlanamaz.