Friday, April 27, 2012

Ali – Veli, 49 – 50

Ekran görüntüsüz, uygulamasız bir IT blogu, defile resmi olmayan bir moda blogu gibidir. Bu nedenle ücretsiz wi-fi hizmeti veren cafelerin müdavimlerini yakından ilgilendiren bir saldırı örneğini göstermek istiyorum. Bu blogun amacı öğretmek değil, o nedenle saldırının detaylarına mümkün oldukça girmeyeceğim. Amacım okuyanlara bu saldırının ne kadar kolay yapılabildiğini göstermek. 

Saldırının anatomisi
Saldırı için iki ayrı makine kullanacağız, birisi Windows işletim sistemi kullanıyor (kurban) diğeri bir Linux sürümü (saldırgan). Saldırı Man In The Middle (ortadaki adam) sınıfı bir saldırıdır ve wi-fi bağlantılarının kalıtsal bir açığından faydalanmaktadır. 

İlk adım
İlk adım kurbanın internet trafiği kendi üzerimize almaktır. ARP Spoofing ile kendimizi ağ üzerindeki gateway olarak tanıtıp kurbanın bize bağlanmasını sağlıyoruz. 



Yukarıdaki ekranda görüldüğü üzere kurbanın broadcast isteğine “gateway benim” cevabı göndermeye başlıyoruz.


Aynı zamanda IPTABLES ile 80 numaralı portumu 10000 numaralı porta yönlendiriyorum. Böylece kurbanın https isteklerine http olarak cevap vereceğim. 


Hazır bir yazılım olan SSLSCRIPT kullanıyorum.  Aynı işi yapacak pek çok yazılım var, bu onların içerisinde nispeten basit olanlardan bir tanesi. 

İkinci Adım
Kurban cafede otururken maillerini kontrol etmek için Hotmail sitesine bağlanıyor. Aslında bağlandığını sanıyor, gerçekten bağlandığı yer benim bilgisayarım. 

Dikkat ederseniz kendi tarayıcısı üzerinde gördüğü Hotmail sayfası olması gerektiği gibi HTTPS değil, sadece http. Ayrıca güvenli bir bağlantı havası vermek için adres çubuğunda anahtar ikonunu göreceksiniz. 


Kurban giriş yapmak için kullanıcı adını ve şifresini yazıyor. 


Ancak gerçekten Hotmail.com adresine bağlı olmadığı için kendisine bir hata mesajı geliyor.


Üçüncü adım
Saldırgan şu anda kullanıcı adınıza ve şifrenize sahip. Size ne kadar teşekkür etse azdır. 


Görüldüğü gibi kullanıcı adı aliveli4950@hotmail.com, şifre ise 123456789. 

Sadece mailler mi?
Tabii ki sadece mailler değil, facebook, twitter, üye olduğunu alışveriş siteleri, aklınıza gelen çoğu yer.Bu saldırı size SMS ile bir seferlik şifre gönderen banka sitelerinin bir kısmında da işe yaramaktadır. Şifreyi sizden önce saldırgan girmiş olacağı için siz sorunun nereden kaynaklandığını anlayana kadar istediği işlemi yapma fırsatını bulabilir. 

Ne yapmalı?
Halka açık bağlantılardan bankacılık işlemlerinizi yapmamakla başlayabilirsiniz. Bütün dünya ile paylaşmak istemeyeceğiniz diğer sayfalar, mail, facebook, vb halka açık yerlerde wi-fi üzerinden girilmemesi gereken siteler. 


Thursday, April 26, 2012

Kaç Paralık Güvenlik Lazım?

Güvenlik Yatırımlarına Karar Vermek: “Güvenlik işinde hesabını bilmek” 
Bundan bir süre önce güvenlik yazılımları satarken sıkça karşılaştığım bir soruydu bu: “bir şirket bilgi güvenliğine ne kadar para harcamalıdır?”. Bankacılık ve Finans okuyup üzerine işletme yüksek lisans yaptıysanız “gerektiği kadar” cevabı sizi tatmin etmekten uzaktır. Aklınızın bir köşesini kemirir durur bu soru. Kendimce bu soruya cevap vermemi sağlayan birkaç yaklaşımı sizlerle paylaşmak istiyorum.



 Bilgi Güvenliği Konusunda Karar Vermek Neden Bu Kadar Zor? 
Bilgi güvenliği konusunda net bir karar vermemizi engelleyen en önemli şeylerden birisi kuşkusuz yeterli veriye sahip olmayışımızdır. Geçen sene, geçen ay veya geçen hafta sizinle aynı sektörde kaç firmanın ağına saldırı düzenlendiği, bunun kaçının başarılı olduğunu veya saldırıların türleri konusunda bilgi sahibi olmayışımız bilgi güvenliği konusundaki kararları kendi içimizde vermemizi gerektiriyor. Bütün komşuların alarm ve çelik kapı taktırdığını görsek, biz de aynı önlemleri alırız tabii ki. Ama komşularımızı görmediğimiz bir ortamda karar tamamen bize kalmış oluyor. Yukarıdaki konuya paralel olarak çoğu zaman bize karşı doğrudan yapılan saldırıların bile farkında olmuyoruz. Korumaya çalıştığımız şeylerin somut olmayışı ve hatta kolayca kopyalanır yapıları işimizi çok zorlaştırıyor. Öyle ya, muhasebe programınızın veri tabanının bir kopyası alınsa bunu nasıl fark edeceksiniz? Veri tabanının silindiğini fark ederiz, değiştirildiğini bir ölçüde fark edebiliriz ama kopyalandığını bize açıkça gösterecek bir delil yok. En azından bu delil programı günlük olarak kullananların görebileceği/anlayabileceği türden bir şey değil. Bu durumda risk sadece veriyi kaybetmek değil, veriye başkalarının ulaşması demektir.

 Okulda Gördüklerimiz Gerçek Hayatta İşimize Yarar Mı? 
Okulda gördüğümüz ROI (Return On Investment) veya NPV (Net Present Value) gibi finansal hesaplar işimize yarar mı peki? ROI (Return On Investment – Yatırım Üzerinden Geri Dönüş) bize yaptığımız yatırım karşılığında ne kazandığımızı söyler. Peki, güvenlik gibi bize doğrudan para getirmeyecek bir yatırım kaleminde işi nasıl ele alabiliriz? Her şeyden önce riski ve bu riske karşılık gelecek tutarı ortaya koymamız gerekir. Firmanızın bilgi güvenliğine karşı düzenlenebilecek 1024 farklı saldırı çeşidi olarak ama dikkate almamız gerekenler size doğrudan zarar verebilecek olanlardır. Kusursuz bir dünyada aklınıza gelebilecek bütün açıkları kapatmak ve bütün riskleri örtmek için çabalayabilirsiniz ama gerçek dünyanın kısıtlamaları size bunlardan sadece bazılarına karşı kendinizi koruma imkanı veriyor. Dolayısıyla en kritik olandan başlayarak daha az önemli olanlara doğru giden bir sınırlandırma yapmak zorundayız. Bazı saldırıların maddi sonuçları olabileceği gibi bazılarının sonuçları ne yazık ki tam olarak ölçülebilir değildir.

 Gerçek Tehdit Seviyesini Anlamak 
Tehdit seviyesinin net olarak ortaya konulması yatırımı yapacak yöneticilerin karar vermesini kolaylaştıracaktır. Bilgi güvenliği konusunu daha kolay anlamak için korumamız gereken sunucuları ortaçağı kalelerine benzetebiliriz.
Bu durumda kalemizin gerçekte ne kadar tehdit altında olduğunu anlamak için aşağıdaki göstergeleri göz önünde bulundurmalıyız:
Açıklık: Kalemizin ne kadar açık bir arazide bulunduğu.
Çevre: Kalemizin etrafının özellikleri. Surlarımız geniş ve yüksek mi? Saldırganları koruyabilecek çıkıntılar var mı?
Koruma seviyesi: Kalemizin ne kadar korunduğu. Nöbetçilerimizin sayısı, savunma silahlarımızın durumu, kapılarımızın sağlamlığı ve benzeri savunma yöntemleri.
Tehdit: Civar tepelerde gezen ve bize saldırması muhtemel yağmacı gruplarının sayısı ve yoğunluğu.
Saldırılar: Kalemize atılan ok ve taş sayısı.
Zaaf: Surların ne kadar kolay aşılabilir olduğu.
Değer: Surların aşılması durumunda kaybedilecek altın/hazine/insan değeri.

Risk hesaplamasını kolaylaştırmak için kullandığımız bu benzetmede görülen başlıkları aşağıdaki risk formülüne yerleştirerek gerçekte ne kadar risk altında olduğumuzu anlamamız mümkün olacaktır.



 Risk nedir? 
 Risk budur! 

Risk = Zaaf x Saldırılar x Tehditler x Açıklık 

Bu sistem alabileceğiniz en yüksek puan 625 ve en düşük puan 1 olacaktır. Puan ne kadar yüksek olursa güvenlik konusunda yapılması gereken o kadar iş vardır.
Örneğin: Uygun fiyatına kanarak hizmet aldığınız veri merkezinin sürekli saldırı alıyor olması ve size ucuz hizmet verdiği için gerekli güvenlik yatırımlarını yapacak parasının olmaması sizin açıklık ve tehdit katsayılarını 5 yapacaktır. Bunun yanında zayıf noktaları hemen herkes tarafından bilinen bir CMS (Content Management System – İçerik Yönetim Sistemi) kullanıyorsanız Zaaf katsayınız 5 olacaktır.
Size özel herhangi bir saldırının olmadığını da varsayarak (rastgele saldırıların artan sıklığı nedeniyle saldırı katsayınızı 3 aldık) Risk durumunuz aşağıdaki gibidir:
Risk = 5 x 3 x 5 x 5 = 375

Bu model kabaca hangi konularda yatırım yapılmasını gerektiğini ve genel güvenlik durumunuzu gösterir. Örneğin yukarıdaki durumda olan bir emlak danışmanlık firması müşteri listesine biçtiği değerle bu yatırımı karşılaştırıp bir karar vermek zorundadır. Müşteri listesinin kaybolması/çalınması/rakibe gitmesi durumunda net bir gelir kaybı yaşamayacaksa bu riski kabul edilebilir olarak değerlendirebilir. Benzer durumdaki bir e-ticaret sitesi doğrudan para kaybedeceği için bu riski kabul edilebilir görmeyecek ve notunu en hızlı şekilde düşürecek yatırımlardan başlayarak risk seviyesini kabul edilebilir düzeye hızla indirecektir.

Puanınız ne kadar yüksek çıkarsa çıksın moralinizi bozmayın. Ne de olsa "%100 güvenlik" yoktur, sadece “daha güvenli” vardır. Hızlı ve basit birkaç iyileştirme ile notunuzu kolayca düşürebilirsiniz. Önümüzdeki günlerde daha detaylı bir risk analizinin nasıl yapılacağını ayrıca ele alacağım.

Wednesday, April 4, 2012

“Baba ben toplum mühendisi olacağım”… “aferin oğluma! Oku mühendis ol!”

Hacker olma fikrinin yavaş ama emin adımlarla filizlendiği yaşlarda karşıma çıkan bu toplum mühendisliği (social engineering) kavramın Türkiye’de dünyanın pek çok diğer ülkesine göre çok daha verimli olduğunu ancak birkaç yıl sonra keşfettim. Kültürümüz “senin işin de zor be abi” cümlesine izin verdiği sürece ayrıca dikkatli olmamız gereken bir konu.

Kimin ne bildiğini biliyor musunuz?

Hacker’in kabul olan duası: Yardımsever bir danışma görevlisi (Şekil 1-A)

Öncelikle sormamız gereken soru bu. Temel düşüncem her şirketin kendi içerisindeki para ve bilgi akışını bir şema üzerinden takip etmesi gerektiğidir. Böylece parayı gerçekte nasıl ve nereden kazandığımızı da açıkça görerek daha verimli ve karlı adımlar atma fırsatımız olacaktır. Bilginin akışı ise öncelikle işimizi kolaylaştıracaktır. Kimin ne bildiğini ve kimin neyi nasıl öğrendiğini takip ederek hangi sorunun çözümü için kime gideceğimizi bilecek ve firmaya yeni katılanların neyi bildiğini takip etme şansımız olacak. Bu tarafı biraz patronları ilgilendiriyor gerçi, beni kimden ne öğrenebileceğim ilgilendiriyor.
“Kurumsal ilk izlenim uzmanı” arkadaş veya nizamiyedeki güvenlik görevlisiyle konuşarak sizin hakkınızda ne öğrenebilirim?

Varan 1: Banka

Bir banka şubesinin önünde bir süre beklemek zorunda kaldığım bir gün, “Senin işin de zor be abi” diye başlayan sohbet zamanla derinleşti ve 2 ayın sonunda edindiğim bilgilerin bazıları şunlardı:
Para geliş ve gidiş saatleri
Para nakil prosedürün detayları
Akşam paranın kasaya konmadan önce konulduğu yer
Paranın sayılmayı beklediği bu yere dışarıdan kolayca erişmenin yolu
“Patlar maazallah” diyerek güvenlik görevlisinin silahı boş taşıdığını
Güvenlik görevlisinin hoşlandığı kadın tipini
Şubede bulunan ortalama para miktarı (günlük bilgi verebiliyordu)
Net göstermeyen ve bir nedenden çalışmayan güvenlik kameralarının hangileri olduğu
Şube alarm sisteminin kodu
Kısaca kaliteli bir soygun planlamak için gerekli olacak bilgilerin çoğunu uğraşmadan elde etmiştim.

Varan 2: kullanılmayan x-ray

Devletin ciddi ve güvenlik seviyesi hayli yüksek kurumlarından birisinin kapısından giriyorum. Sakin hareketlerle cebimden anahtarlarımı ve cep telefonumu çıkartıp elimdeki 3 adet kalınca kitapla birlikte metal detektörünün yanındaki bu iş için yapılmış yere koyuyorum ve detektörden geçiyorum.

Kitapları, anahtarlarımı ve cep telefonumu alıp danışma bankosuna yürüyorum. Kendimden emin bir ses tonuyla “başkan bey’e kitap getirdim” diyorum. “Buyurun” diyorlar, bir kart verip beni binanın içerisine tek başıma salıyorlar. Bu arada nüfus cüzdanım yanımda olmadığı için ve ehliyetimi de arabayla otoparka girerken aldıkları için kartvizit vermeyi öneriyorum, yardımsever güvenlik görevlisi kabul ediyor.

Tek başınayım, başkan’ın odasına kadar çıkacak yetkiye sahip bir geçiş kartım var, buna karşılık ellerinde benim olup olmadığını bilmedikleri bir kartvizit var. İşin ilginç tarafı içerisine herhangi bir şey saklayabileceğim kalınlıkta 3 cilt kitaba ne bakan oldu, ne metal detektöründen geçti ne de mevcut x-ray cihazından geçirildi. Bu arada sözünü ettiğim yerin misafir otoparkı olmadığı için ehliyetimi oraya vermiş olma ihtimalim hiç olmadı.

Güvenlik görevlisi varsa, x-ray ve metal detektörü yatırımı da yapıldıysa kullanılsın bir zahmet.

Beni ne mühendisler istedi de varmadım!

Toplum mühendisi: Temsili (Şekil 3-A)

Toplum mühendisliği herhangi bir saldırıdan önce yapılan araştırma (reconnaissance) döneminde önemli bir araçtır. Pasif bilgi toplama kısmını diğer bilgi toplama yöntemlerinden ayıran temel özellik pasif bilgi toplamanın “normal işleyişten” farkının olmaması gerektiğidir. Bu durumda saldıracağınız bir firmanın adını google’a yazmanın fiziksel karşılığı oraya normal şekilde girmek olacaktır. Bir müşteri gibi veya yol sorma bahanesiyle girebilirsiniz, bu normaldir. Ancak bir banka şubesine girip fotoğraf çekmek normal karşılanmayacağı için bu aktif bilgi toplama sınıfına girecektir.

İyi niyetli kişiler olduğu gibi gelenlerin bir kısmının kötü niyetli olabileceğini de hatırlamakta fayda var.

Kimin ne bildiğini bilmek ve bu kişilere karşı oluşabilecek tehditleri doğru analiz etmek ileride başınızın ağrımasını engelleyecektir. Verdiğim ikinci örnek ise konunun tersten ele alınması gibidir. Bu durumda güvenlik görevlisinin neyi bilmediğini bilmek önem kazanmaktadır. Görünen o ki girişteki arkadaşlar dışarıdan gelebilecek tehditlere karşı tamamen bilgisizler.
Korsanları bayraklı gemilerle beklediğimiz dönem bitti; onlar artık güler yüzlü, esprili, konuşkan ve halinizden anladığı için dertlerinizi anlattığınız kişiler.

Korsan: Temsili (Şekil 4-A)

Tuesday, April 3, 2012

Truva Meselesi

Truva atı (Trojan Horse veya Trojan) hikayesi beni hep etkilemiştir. “Yakalım bunu” önerisinde bulunan kişinin sözünün dinlenmemesi ve atın tanrılardan gelen bir hediye olarak şehre alınması. Güvenlik işinin ibretlik lafontaine öykülerinden birisi aslında, ders almamız gereken. Günümüzde Truva Atları tahtadan yapılıp kapımızın önüne bırakılmıyor ne yazık ki, sessizce posta kutunuza sızıyor veya USB belleğinize yerleşiyor.

Meşhur Truva Atı (Şekil 1-A)

Ne yapar bu beygirler?
Kötü niyetli bir insan olarak bilgisayarınıza trojan yerleştirmemin birkaç nedeni olabilir tabii ama en yaygın kullanım alanları aşağıdakiler gibi gözükmektedir;
•DDoS saldırısının parçası olarak bilgisayarınız işlemci ve bağlantı kaynaklarını kullanmak
•Bir bankaysanız sizden para çalmak
•Sizden bilgi çalmak
•Bilgisayarınıza başka bir amaca hizmet edecek bir yazılım yüklemek
•Dosya yüklemek veya bilgisayarınıza dosya indirmek
•Dosyalarınızı silmek / değiştirmek
•Yazdıklarınızı takip etmek (Keylogger)
•Ekranınızı seyretmek
•Bilgisayarınızı bozmak
•Şu anda aklıma gelmeyen ama canımın çektiği herhangi bir şey.

Trojan’ları asıl tehlikeli yapan büyük ihtimalle çok çeşitli platformlarda varlık gösterebilmeleridir. Hatta akıllı cep telefonlarına uygulama indirmek için kullandığımız “uygulama marketlerin” birer trojan yuvasına döndüğünü gösteren araştırma sonuçları yayınlanmıştır. Konu cep telefonu veya bilgisayar olsun, sizden habersiz açılan bir oturum ve sizin izniniz olmadan paylaşılan bilgiler söz konusudur.

Trojan’ları bu kadar tehlikeli yapan bir diğer unsur ise bireysel bilgisayar kullanıcılarının hedef alınmasıdır. Sunucularınızı ve firewall’larınızı güçlendirebilirsiniz ancak son kullanıcılarda bazı güvenlik reflekslerini oluşturmak zaman alacaktır. Güvenliğe ilişkin bazı reflekslerin oturması ise imkansız gibi görünmektedir. “FWD: kedi resimler… çok Şekerler!!!” konulu bir maili açmamak gerektiğini anlatabilirsiniz belki ama birkaç hafta sonra gelecek “Prada yaz indirimi başladı” konulu mailin de tehlikeli olduğunu ayrıca belirtmenizde fayda olacaktır. Erkek kullanıcılarda durum daha da vahimdir, uyarmadı demeyin.

Danseden tavşanlar sorunu

Gary McGraw ve Edward Felten tarafından yapılan bir yorum “Bilgisayar kullanıcısından danseden bir tavşan ve güvenlik arasında şeçim yapmasını isterseniz, kullanıcı her seferinde danseden tavşanı seçecektir”.

Burada kastedilen temel sorun bilgisayar kullanıcılarının özellik/uygulama ve güvenlik arasında tercih yapmak zorunda kaldıkları her durumda güvenliği ikinci plana atmalarıdır. Oyun oynarken çıkacak bir güvenlik güncellemesi için izin talebi büyük ihtimalle hayır veya “daha sonra hatırlat” cevabını alacaktır.

Danseden tavşanlar: Temsili (Şekil 2-A)

Bilgisayar kullanıcılarının bu ortak özelliği nedeniyle herhangi bir sistem veya ağ tasarımı yapılırken kullanıcının karar verme yetkisinin asgari düzeyde tutulmalıdır. Örneğin sistem güvenlik güncellemelerini kullanıcı onayına gerek duymadan yapmalıdır

Nereden başlamalı?

Başlıca çözümü sisteminizde bulunan kullanıcıların eğitilmesidir. En azından tanımadıkları adreslerden gelen mailleri açmamaları gerektiğini vurgulamanız gerekecek. Bunun yanı sıra USB belleklerin veya akıllı telefonların da tehdit oluşturduğunun anlaşılmasını sağlamak gerekecek.
Kullanıcı kaynaklı sorunlar dışında iş spam ve port/log kontrollerini yaparak anormalliklerin oluşmasını önlemeye kalıyor. Anti-spam yazılımları ve donanımları tehlikeli maili açıp açmama kararını bilgisayar kullanıcısına bırakmama konusunda önemli bir yardımcımız. Anti-spam çözümlerinin belli bir “öğrenme” dönemi olduğunu ve kullanılmaya başlandığı günü tam verim alınamayacağını hatırlamakta fayda var. Server tarafında olduğu gibi kullanıcı bilgisayarlarının loglarını ve açık portlarını düzenli olarak takip etmekte fayda olabilir.
Birisi “FW: Dans eden tavshanlar, muHte$em!!!! :) LOL” konulu o maili açmış olabilir.

Sunday, April 1, 2012

Afrika

Afrika’nın yer altı zenginliklerini duyardık ancak uzmanlar bir süredir Afrika’nın botnet açısından da zengin olabileceğini belirtiyor. “Afrika’daki botnet’lerden bize ne?” demiyor ve sizin için Afrika’lı yaban botnetlerini araştırıyoruz.

Botnet nedir?
Botnet farklı hedefleri olan ama temelde kötü amaçlı yazılımlardır. DoS saldırılarından, spam göndermeye kadar geniş bir yelpazede kullanılabilen botnetlerin en belirgin özelliklerinden birisi grup halinde yönetilebilmeleridir. Kısaca tek bir makineden gelen saldırı yerine yüzlerce, belki binlerce makineden gelen saldırılarla karşı karşıya kalmak demek.

Botnet saldırıların engellenmesi bu yazının konusu olmamakla beraber bu konuda daha fazla bilgi isteyen okuyucularımız basaranalper|@|gmail|.|com adresine “Botnet saldırıları hakkında bilgi istiyorum” konulu bir mail atabilirler. Maile adınızı ve detaylı iletişim bilgilerinizi yazmayı unutmayınız.

Afrika nedir?
Çocukluğumun birkaç yılının geçtiği Dakar dışında Afrika hakkında çok bilgim yok. Oradan aklımda kalanın büyük bölümü aşağıda resmi olan Sandaga Pazar yeri ile ilgili zaten.

Sandaga Pazarı, Dakar, Senegal (Şekil 1-A. Kaynak: salysenegal.net )

Kabile savaşları, sefalet, açlık, insanlığa karşı işenen suçlar gibi genel kültür bilgisi dışında beni, ve sizi, ilgilendiren bir yanı daha var Afrika’nın. Uzmanlar Afrika’nın geleceğin en büyük botnet saldırısının çıkış yeri olabileceğini belirtiyor. Şekil 1-A’da da görüldüğü üzere yoksulluğun pençesinde kıvrılan bu ülke gelişmiş medeniyetler için gerçekten bir tehdit oluşturabilir mi?

Tehlikenin kaynağı nedir?
Tehlikeyi iki ana başlık altında ele alabiliriz; botnet kapmış makineler ve internet erişimi. Şimdiye kadar tehdidin göz ardı edilebilir olmasının nedenlerinden birisi Afrika kıtasının dünyaya çıkış için sınırlı bir bant genişliğine sahip olmasıydı. Sonuçta bütün kıta orta ölçekli bir Avrupa kentinin internet bağlantısına sahipken kimse yıkıcı bir botnet saldırısını aklına getirmiyordu. Ancak son yıllarda SEACOM, TEAMS (The East African Marine System) kablosu, EASSy kablosu gibi yatırımlarla kıtanın internet çıkışı önemli rakamlara ulaşmıştır.

EASSy sistemi (Şekil 2-A. kaynak: Wikipedia)

Bu gelişmelere paralel olarak kıta genelinde artan bilgisayar kullanımı da olası botnet makine sayısının artmasına neden olmaktadır. Makinelerin önemli bir kısmının korsan Windows sürümleri kullandığı, dolayısıyla güvenlik yamalarının olmadığı söyleniyor.

Bu durumda ne olur?
Genel paranoya haline kapılıp Afrika’da bulunan 10 milyon botnet’in ülkemize saldıracağını ve bunun internet altyapımızı çalışamayacak hale getirebileceğini düşünebiliriz. Benzer şekilde 21. Yüzyılın en büyük hacker’larının Afrika’dan çıkabileceğini de hayal edebiliriz. Mauritus kaynaklı bir botmaster’ın Londra Canary Wharf’ta bulunan banka genel merkezlerini bitirdiği bir film bile çekilebilir önümüzdeki günlerde.

Canary Wharf’ta sabah (Şekil 3-A. Kaynak: Alper Başaran)

Her ne olursa olsun, şu anda tehdidin gerçekleşme ihtimali düşük gözüküyor. Ama bu ölçekte profesyonel saldırıların hedefinde kalabileceğimizi unutmamak adına güzel bir felaket senaryosu oluşturuyor.

Biz ne yapalım?
Paniğe kapılmadan kendi sistemimizin güvenliğini sağlayalım. Bunun için sistemin ve kullanıcıların hangi bilinç seviyesinde olduğunu tespit etmek önemlidir. Böylece eğitimlere ve yatırımlara nereden başlayacağımıza karar verebiliriz.
Bilinç seviyelerini kabaca 4 döneme ayırabiliriz, aşağıdaki grafikte görüldüğü gibi zamanla, daha doğrusu güvenlikle ilgili çalışmalar yürütüldükçe sistem içerisindeki bilinç seviyesi artıyor.

Güvenlik bilinci seviyesi (Şeki 4-A. Kaynak: Byrnes & Scholtz, 2005)

Güvenlik bilinci seviyelerinin temel özelliklerini anlamak bulunduğunuz sistemin hangi seviyede olduğunu ve sonraki seviyeye geçmek için yapmanız gerekenleri ortaya koyacaktır.

“Cehalet” dönemi: Bu dönemin özelliği güvenlik konusunda herhangi bir prosedür, süreç, işlem yoktur. Firewall olması iyiye işaret olabilir ama firewall’ın fabrika hala fabrika ayarlarında olması sizi şaşırtmamalı.

“Bilinçlenme” dönemi: Güvenlikle ilgili kıpırdanmaların olduğu dönemdir. Çalıştığınız yerde bu konuda çalışmalar yeni başladıysa büyük ihtimalle bu dönemdesiniz. Bilinçlenme dönemine geçmek için öncellikle mevcut durumun gözden geçirilmesi gerekmektedir. Sonrasında güvenlik konularıyla ilgilenecek bir ekibin kurulması veya bu ekibin kâğıt üzerinde mevcut olduğu durumlarda yeniden düzenlenmesi ve çalışır hale getirilmesi gerekmektedir. Bu ekipler ISO çalışmasının mirası olarak karşımıza çıkabilirler. Son adımda ise bir dizi yeni güvenlik kuralı geliştirilir.

“Düzeltme” dönemi: Bu dönemde yeni strateji şekillenmiş olur. Güvenlik odaklı mimari gözden geçirilir ve oturtulur. Bu dönem ilerlemeye odaklandığı için ve belli bir altyapının oluşmaya başlamış olmasından dolayı en hızlı ilerlemenin görüldüğü dönem olacaktır.

“Mükemmeliyet” dönemi: Çalışmaların tam anlamıyla meyvelerini verdiği dönem. Sürekli iyileştirme hedefiyle yapılacak işlerin olduğu ancak güvenlik bilincinin büyük ölçüde oturduğu bir dönem.
Görüldüğü gibi güvenlik bilincinin oluşturulması, güvenlikle ilgili her konuda olduğu gibi bir süreçtir.
SANS 27000 Uygulama ve Yönetim kursu buna benzer bir örneği log kayıtlarıyla ilgili vermektedir. Logların 3 aşamalı bir model ile hiç izlenmedikleri bir durumdan saatlik izlendikleri bir duruma geçiş gösterilmiştir. İlk aşamada belirli aralıklarla incelenen sunucu ve daha da seyrek olarak incelenmektedir. Üçüncü aşamada ise gerekli yazılım ve donanım yatırımları yapılmış ve loglar anlık olarak incelenip yorumlanmaya başlamıştır.

Afrika’ya dönersek
Şirket firewall’unuzun Kara Kıta kaynaklı milyonlarca botnet’in katıldığı bir siber savaş cephesi haline gelmesi zor. Ancak mevcut yapınızın sizi çok daha basit saldırılara karşı savunmasız bıraktığını hatırlamak için bu tür korku senaryolarını arada hatırlamakta fayda var.

Güvenlik 101

Üniversitede aldığımız ekonomi 101 dersi gibi güvenlik teorisi konusunda harcanan zamana ve bunu anlamak için yitip giden zamana uzun süre anlam veremedim. Bildiğiniz “bunlar gerçek hayatta ne işimize yarayacak?” sorusunu soruyordum kendime ve cevabı bulmam mümkün olmuyordu. Birkaç yıl sonra yine bu konuda karşıma çıkan bir yazıyı okurken fark ettim ki aslında gerçek dünyada en çok işimize yarayan şeyler “güvenlik 101” olarak adlandırabileceğimiz temel bir dersin içeriği.

“Güvenliğe giriş” diye bir ders olsaydı ilk konu CIA olurdu

CIA muhtemelen aklınıza ilk genel CIA değil, kastettiğim CIA; Confidentiality (Gizlilik), Integrity (Bütünlük) ve Availability (Erişilebilirlik) kelimelerin baş harfleridir.

Gizlilik (Confidentiality):
Burada gizlilik bir bilginin saklanması ve bilginin ilgili taraflar dışına sızmaması olarak iki anlam taşımaktadır. Dolayısıyla bilginin veya verinin ilgili sistem içerisinde kalması için alınan bütün önlemler bilginin gizliliği başlığı altında toplanabilir. Bu seviyede gerçekleşecek bir zafiyet bilgi, veri ve duruma göre para kaybı anlamına gelebilir. Gizlilik konusunda aklımıza gelen ilk önlem parola korumasıdır. Genellikle kullanıcı adıyla birlikte kullanılan parolalar kullanıcının kimliğini doğrulamayı amaçlarlar. Retina/parmak izi taraması gibi biometrik çözümler ve akıllı kartlar da aynı işlevi görmektedir.

Bütünlük (Integrity):
Bütünlük verilerin izinsiz olarak değiştirilmesini, yeni bilgiler eklenmesini veya mevcut bilgilerin çıkartılmasını engellemeyi amaçlar. MD5 ve SHA-1 hash yöntemleri veri bütünlüğünü korumak amacıyla geliştirilmiştir.

Erişilebilirlik (Availability):
CIA üçlüsünün bileşenleri arasında en kolay ölçülebilenidir. Sistemlerin ve verilerin ulaşması gereken kişilere ulaşılabilir halde olması erişilebilirliktir.

Hocam bunlar gerçek hayatta ne işimize yarayacak?

Yukarıda belirttiğimiz üç ana başlık saldırganların temel hedeflerini özetlemektedir. Bu saldırıların ortak özellikleri aşağıdaki gibidir. İlk şekilde normal haliyle gerçekleşmesi gereken iletişim gösterilmiştir

Normal iletişim (Şekil 1-A)

Veri gizliliğine karşı saldırı (Şekil 1-B)


Görüldüğü üzere kötü niyetli (bkz. siyah şapkalı adam) üçüncü taraf diğer iki taraf arasında gerçekleşen iletişime dahil olmaktadır. Burada kullanılan başlıca saldırılar paket yakalama, dinleme ve kopyalama modelleri üzerine kuruludur.

Veri bütünlüğüne karşı saldırı (Şekil 1-C)


Bu saldırı türünde kötü niyetli üçüncü taraf paketleri yakalamakla kalmaz, paketleri değiştirerek alıcıya iletir. Böylece iki taraf arasındaki iletişimde veri bütünlüğü bozulmuş olur. Bu saldırı modeli üç aşamalıdır; paketler yakalanır, değiştirilir ve alıcıya gönderilir.

Veri bütünlüğüne karşı saldırı – Kullanıcı taklidi (Şekil 1-D)


Veri bütünlüğüne karşı yapılan saldırıların bir çeşidi de kullanıcının kimliğine bürünerek iletişim kurulmasıdır. Bu saldırı türünde kullanıcı başka bir kullanıcı ile iletişim halinde olduğunu düşünse bile aslında kötü niyetli üçüncü taraf ile temas halindedir.

Sistem ve veri erişilebilirliğine karşı saldırı (Şekil 1-D)


Temel olarak DoS (Denial of Service) türü saldırılardır. DoS saldırıları binlerce zombi bilgisayarın eşzamanlı yürüttüğü saldırılar olabileceği gibi güç veya Ethernet kablosunun sökülmesi gibi basit yöntemler de DoS saldırısı olarak sınıflandırılır. Hedef sisteme veya veriye erişimi engelleyecek her türlü girişim DoS saldırısıdır.

Sınavda çıkacak konular:

Saldırganın neyin peşinde olduğunu bilmek nasıl bir saldırı gelebileceğine dair bize fikir verebilir. Saldırıları kolaylıklarıyla da derecelendirmekte fayda var, örneğin trafiği satüre etmeye yönelik bir DDoS saldırısı trafik üzerinde kolayca görülecektir ve önlem almak mümkün olacaktır. “Man in the middle attack” gibi daha planlı ve sessiz saldırılar ise ancak IDS (Intrusion Detection System) veya firewall yardımıyla tespit edilip engellenebilir. Güvenlik 101 dersinin bir de sınavı olsa başlıca iki konusu olurdu; saldırganların temel olarak neler yapabileceğini bilmek ve bu saldırıların neden olabileceği sorunları anlamak. İstediğiniz sorudan başlayabilirsiniz.

Paranoyak olmam takip edilmediğim anlamına gelmez

Bilgi güvenliği hepimizin gündeminde ama çoğumuz buna bilinçli bir şekilde yaklaşmakta zorlanıyoruz. Bilincin oturması için öncelikle konuyu bütün ciddiyeti ve gerçekliği ile almak gerekiyor ki burada karşılaştığımız engeller teknik bilgimizin/yeterliliğimizin çok dışında. Konuyu ele almak için işin sadece bizlere düşmediğini, şirket içi kullanıcılardan üst yönetime kadar herkesin bunda payı olduğunu kabullenmek gerekir. 90’lı yıllarda ISO belgeleri yaygınlaşmaya başladığı yıllarda Kalite Departmanının “Kalite Hepimizin Görevi!” feryatlarını hatırlıyorum da ; “Güvenlik Hepimizin İşi!” demeye başlamış olmamız iyiye işaret değil gibi geliyor. Bu duruma düşmemek ve bilgi güvenliğimizi sağlayabilmek için güvenlik kararlarını etkileyen başlıca oyuncuları ve şartları anlamamızda fayda var.

En zayıf halkanız kadar güçlüsünüz: İnsan saflığına karşı sizi koruyacak bir firewall yok

Tanıştırayım: Düşman. (Şekil 1-A)


2008 yılında Ortadoğu’da bulunan bir Amerikan askeri üssünün sistemine yukarıda görülen ileri teknoloji ürünü siber saldırı aracı (!) sayesinde girildi. Agent.btz isimli worm halen A.B.D. askeri gizli bilgilerine karşı yapılmış en ciddi saldırı olarak biliniyor. Bu saldırıya karşı başlatılan “Buckshot Yankee” operasyonu kapsamında etkilenen bütün bilgisayarların temizlenmesi 14 ay sürmüş ve bu süreçte USB belleklerin kullanımı yasaklanmıştır. Bu olay aynı zamanda A.B.D. ordusu bünyesinde “U.S. Cyber Command” birimin kurulmasına neden olmuştur.
Bu tür bir saldırıya karşı ne kadar açık olduğunuzu anlamak için toplantı odasına bir USB bellek bırakmanız yeterli olacaktır. Meraklı bir arkadaşınızın eninde sonunda onu bulup ağınıza bağlı bir makinede çalıştıracağından emin olabilirsiniz.

Güvenlik Hepimizin İşi!
Güvenlik konusunda çalışma arkadaşlarımızı eğitmek zorundayız ama her çalışanımızın bizim için eşit derecede tehdit oluşturmadığını veya eşit derecede tehdit oluşturabilecek bilgiye sahip olmadığını anlamamız gerekiyor. Aynı şekilde sistemde bulunan her bileşenin eşit tehdit yaratmadığını da aklımızda tutmakta fayda var.
Aşağıdaki matris bu konuyu çok iyi bir şekilde özetlemektedir.

Risk Analiz Matrisi (Şekil 2-A)




Tehditleri bu matrise yerleştirerek hangilerine karşı daha dikkatli olmamız gerektiğini anlayabiliriz. Aslında “tehdit” dediğimiz şeyin büyüğünün veya küçüğünün, önemlisinin veya önemsizinin olmaması gerekir ama ne yazık ki mükemmel bir dünyada yaşamıyoruz. Mükemmel bir dünyada yaşamadığımız için de %100 güvenliği sağlamak için yeterli kaynaklarımız yok. Dolayısıyla elimizdeki imkânlara göre bir öncelik sırası belirleyip buna göre hareket etmemiz gerekiyor. Riskleri belirleme konusu firmaya göre değişiklik gösterdiği için bu konuda bir matris veya formül vermek doğru olmaz ancak ertesi günün gazetesinde görmek istemeyeceğiniz, kendi ellerinizle rakibe göndermeyeceğiniz ve hemen şu anda silmeyi göze alamayacağınız verileri korumakta fayda var.

Bu matriste sistemleri, çalışanları, tedarikçileri ve bunun gibi güvenliği etkileyen her unsuru değerlendirmekte fayda var. Sonuç olarak olasılığı ve etkisi en yüksek tehditlere karşı hemen önlem anlamakta fayda var. Alınabilecek önlemler kritik bilgilere erişimi olan çalışanların eğitilmesinden yeni güvenlik sistemi yatırımlarına; fiziksel güvenliğin güçlendirilmesinden atık kâğıt politikasının gözden geçirilmesine kadar çok geniş bir yelpaze oluşturmaktadır.
Yukarıdaki matris iki soru soruyor ve hassasiyeti bunlara verilen cevaplara göre sıralıyor;
Tehdidin gerçekleşme olasılığı nedir? Ve bu tehdit gerçekleşirse ne kadar zarar verir?
Daha önce verdiğimiz USB bellek örneğini ele alırsak bu tür bir sızma durumunun gerçekleşme olasılığı nedir? “İşyerinize ziyaret/iş görüşmesi bahanesiyle girip bir USB bellek bırakmayı göze alabilecek kimse var mı?” gibi basit soruların cevapları bize bu konuda ipucu sağlayacaktır.

İkinci aşamada ise bu tehdidin gerçek olması halinde neler kaybedeceğinizi değerlendirmek gerek. Veya online satış yapan bir işletme sanal mağazanın veri tabanını içeride de kullanıyorsa içeride kullanılan sisteme dışarıdan birinin ulaşması ne gibi sonuçlar doğurur? Bu sonuçlar yeni güvenlik yatırımlarını, örneğin bir DMZ (bkz. Demilitarized Zone) kurulmasını, haklı çıkarır mı?

Güvenlik yatırımlarında geri dönüşün hesaplanması
ROI (Return On Investment) veya daha basit bir deyimle “paramı ne kadar zamanda kurtarırım?” sorusu çoğu yöneticinin aklının bir köşesinde vardır. Güvenlik konusunda ceplerinden çıkacak paralar da ne yazık ki aynı süzgeçten geçer. Tam bu noktada bilgi güvenliğinin “uzun ince yolu” karşımıza çıkıyor. Aşağıdaki şekilde yeşil olan kutular bilgi güvenliğinin yolunu çizmektedir. Bu kutulardan yürürseniz başarıya ulaşma ihtimaliniz vardır.

Yürünecek yol (Şekil 3-A)



Her hangi bir güvenlik yatırımında temel olarak 3 taraf vardır; Teknik, Finans ve Yönetim. Bunların her biri ayrı birimler olabileceği gibi KOBİ ölçeğinde Finans ve Yönetim genellikle tek noktada toplanmıştır. Tabloyu özetlersek; güvenlik konusunda bilgisi olan Teknik Birim ne yazık ki olayın Finansal ve Yönetimsel boyutlarını göremez ve/veya bu konuda söz hakkına sahip değildir. Benzer şekilde Finans Birimi işin teknik boyutuna uzaktır. Görüldüğü üzere konuya dahil üç taraf da sadece kendi konuları hakkında bilgi sahibidir. Dolayısıyla bir güvenlik yatırımın yapılabilmesi için üç aşamanın da onayı alınmalıdır. Teknik birimin talebini ve özellikle talebin nedenini açıkça ve diğer birimler tarafından da anlaşılabilecek şekilde dile getirmesi çok önemlidir. Toplantıları seven şirketlerde bunun için bir çalışma grubu kurulabileceği gibi daha verimli çalışmayı tercih eden firmalarda konu Teknik Birimin risk analizi matrisini ve sonuçlarını paylaşması ile kolayca çözülebilecektir.

Geri dönüş ise sızabilecek/kaybolabilecek bilgilerin değeri ile kolayca hesaplanabilir ama genel görüşüm konunun doğru anlatılmasının finansal çekinceleri ortadan kaldıracağıdır.

Güvenlik politikası:
Görüldüğü üzere gerek güvenlik zafiyetlerinin sonuçlarından gerekse güvenlik kararlarının alınma sürecinden dolayı bilgi güvenliği gerçekten hepimizin işi. Gerekli analizler yapıldıktan sonra ortaya çıkan sonuçlara göre bir güvenlik politikası belirlenmelidir.
Bu politikayı oluşturacak kuralları güvenlik konusuna genel yaklaşım belirleyecektir. Yaklaşım paranoyaklıkla tamamen boş vermişlik arasında bir skala üzerinde bir yere oturacaktır.

Skala (Şekil 3-A)



Yaptığımız iş veya sahip olduğumuz verilerin hassasiyeti ise düşmanlarımızı belirleyecektir. Filmlerde görmeye alıştığımız siyah ekran üzerine yeşil karakterlerle kod yazan dahi bir “hacker” mı var karşımızda?

Dahi hacker – Temsili (Şekil 3-B)



Yoksa 13-14 yaşında meraklı bir İsveçli çocuk mu? Yoksa tükenmez kaleminin içerisindeki USB bellekle bizden bilgi çalan bir çalışan mı?

Tanıştırayım: Düşman 2.0 (Şekil 3-C)


Kevin Mitnick’in dediği gibi “Güvenlik süregelen bir kedi-fare oyunudur”, güvenlik politikasını oluşturmak ve güncel tutmak, çalışanları akıllarına gelmeyecek tehditlere karşı uyarmak, her an tehdit altında olduğumuzu anlamak ve anlatmak bize bu oyunda az da olsa avantaj sağlayacaktır.

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...