Wednesday, January 30, 2013

Yalancı üretici sendromu

Temelde iki tür güvenlik cihazı üreticisi olduğuna inanıyorum; “Bizim ürünümüz olsaydı YÖK hacklenmezdi” diyebilenler ve diyemeyenler J

Bu cümleyi gerçekten bir üreticinin sunumunda aldım ve söyleyen kişinin bilgi güvenliği konularına ne kadar uzak olduğuna hala inanmakta zorluk çekiyorum. Tek bir cihazla her hangi bir koruma sağlanabilseydi o cihaz dışındaki bütün üreticiler çoktan iflas etmiş olurdu. Ancak bu yaklaşım müşterileri kandırmaya yetiyor gibi gözüküyor. Üreticileri bir çeşit bilgi güvenliği danışmanı gibi gören müşteriler bu tür asılsız iddialar ışığında bazı yatırım kararları vermek zorunda kalıyor.
Güvenlik konularından biraz anlayan biri olarak şunu biliyorum ki bilgi güvenliği tek bir ürün veya olay olarak ele alınamaz. Bilgi sızmasına yol açacak basit bir saldırıyı ele alırsak karşımıza şu aşamalar çıkacaktır;
  1. Phishing maili
  2. Zararlı yazılımı barındıran sayfanın kullanıcı tarafından ziyaret edilmesi veya zararlı yazılımı içeren eposta ekinin açılması
  3. Zararlı yazılımın yüklenmesi ve dışarıyla iletişime geçmesi
  4. Kullanıcının bilgisayarının ele geçirilmesi
  5. Ağdaki diğer bilgisayarlara ve/veya sunuculara sızılması
  6. Bu bilgisayarlardan veya sunuculardan elde edilen bilgilerin sızdırılması
En basit haliyle 6 aşaması olan bir saldırıyı tek bir noktaya konumlandırdıkları bir cihazla nasıl önleyebileceklerini anlatmak isteyen üreticileri her zaman heyecanla dinlemeye hazırım.
Siber güvenlik olaylarının veya siber saldırıların tek bir olay değil, olaylar dizisi olduğunu anlayacak kadar bilinçli olan üreticiler de var tabii, Allah hepimizi böyle üreticilerle karşılaştırsın J

Bilgi güvenliği yatırımlarını değerlendirirken bu siber saldırıların tek bir olaydan ibaret olmadığını hatırlamak ve her aşamaya mümkün olduğunca hizmet edecek şekilde yatırım yapmak önemlidir.
Firewall örneği

Müşteri tarafında gördüğüm çoğu firewall dışarıdan içeriye doğru istenmeyen trafiği önleyecek şekilde konumlandırılmaktadır. Bu noktada önerim içeriden dışarıya doğru da yapılabilecek trafiği engelleyecek kuralların mutlaka yazılmasıdır.

Diyelim ki ağızı kalabalık bir üretici sizi IPS’e ihtiyacınız olduğu konusunda ikna etti. Kuracağınız bu ikinci savunma hattı aslında ilkinden farklı bir amaca hizmet ediyor olmayacaktır, dışarıdan içeriye gelen saldırıları engelleyecektir.
Bu durumda 2 birim yatırım yapıp kendimizi sadece dışarıdan gelen saldırılara karşı korumuş olacağız. “Bunun nesi kötü?” diye soranlara hemen anlatayım. Bir saldırgan bu iki savunma hattını atlatıp içeri sızarsa içerideki davranışlarını tespit edecek bir yatırımınız ne yazık ki yok.

Bir önceki yazımda da ele aldığım “saldırı sırası” bu senaryoda da karşılıksız kalmaktadır.
Yalancı üretici sendromu

Bir hastalık olsa adına “Yalancı Üretici Sendromu” diyebileceğimiz, güvenlik yatırımlarını üreticilerin sizi korkuttuğu doğrultuda yapma alışkanlığına karşı önerebileceğim en basit reçete kağıt ve kalemdir.
Önünüze bir kağıt alıp aşağıdaki şekilde; saldırı öncesi, saldırı sırası ve saldırı sonrası başlıklarıyla 3 eşit sütuna bölebilirsiniz;
"Basit iyidir"


Mevcut güvenlik yatırımlarınızı uygun sütuna yerleştirince ortaya çıkan tablo size paranızı nereye harcadığınızı ve hangi alanlarda eksik kaldığınızı açıkça gösterecektir.

 Saldırı sırasında ne yapacağız?

"Log çözümümüz var ya la amcamın oğlu" (Bkz. işler güçler)
 
Forensic çözümleri saldırı sonrası için önemli bilgiler verebilir.
 
Olay sonrası müdahale uzmanlık ve görece daha fazla yatırım gerektirse bile en azında birilerinin ağınıza sızdığını anlayabilmenizi sağlayacak bir olay ve log gözlemleme yatırımı düşünülmelidir. Log toplayacak çözümün akla gelen her olayın logunu toplamak yerine gerekli uyarıları iletebilecek şekilde konumlandırılması önemlidir. Örneğin “192.10.2.23 IP’li makine RDP yapıyor” benzeri loglar saldırı sırasında bize gerekli uyarıları verecek loglara örnek olabilir.
DUNE benzeri strateji oyunlarını hatırlayın. Elimizde bir miktar para/cevher olurdu ve bunlarla hangi tür binaları yapacağımıza ve nasıl askerler yetiştireceğimize karar verirdik. Büyüdük ve artık bu kararları network düzeyinde vermemiz gerektiği günlere geldik. Kısaca; bütün paranızı asker yapmaya harcamayın, birazıyla da cevher çıkartın :)

 

Wednesday, January 23, 2013

"Siber savaş" diyoruz ama askerimiz yok

Babam sayesinde savaş filmleri izleyerek büyüdüm. Aklınıza hemen Rambo türevleri gelmesin, bunlar genellikle ikinci dünya savaşını konu alan, strateji ve taktik yaklaşımlar içeren ve ellili yılarda çekilmiş filmlerdi. “Dirty Dozen” veya “Destination Tokyo” Pazar kahvaltılarımızda sucuklu yumurta ve taze ekmek kadar vazgeçilmezdi. Yıllar sonra bilgi güvenliği işine girdiğimde ve özellikle “siber savaş” söylemleri bu kadar moda olduktan sonra kendimi iyi günlerimde bir Alman Panzer tankı komutanı gibi, diğer günlerde ise siperde beline kadar çamura batmış olarak sabahlayan bir asker gibi hissettim. Siperde sinir bozukluğu içerisinde bekleme günlerinin daha fazla olduğunu meslektaşlarım biliyordur zaten. İşte bu nedenle İngiltere’yi ilk ziyaretimde gittiğim yerlerden birisi “War Rooms” (“savaş odaları” veya komuta merkezi) olarak adlandırılan ve İngiliz Hükümetinin savaşı yönetmek için kullandığı sığınaklar oldu. İngiliz ordularının hareketlerinin yönetilmesi dışında Alman ordusunun da sahadaki davranışlarına ilişkin bilgiler bu merkezde toplanıp değerlendiriliyordu.

“Siber savaş” benzetmesinin beni etkilememesinin ve bu tanımı özünde yanlış bulmamın nedenlerinden birisi bilgi güvenliği sektörünün ve yatırımlarının saldırı öncesi ve sonrasına yoğunlaşmasıdır. Firewall ve IPS gibi cihazlar saldırganın içeri girmesini önlemeyi amaçlarken SIEM çözümleriyle içeri girdikten sonraki davranışlarını tespit etmeye çalışıyoruz. Savaş benzetmesine dönersek; radarımız var, sınıra mayın döşemişiz ve düşmanın topraklarımıza girmesi halinde neler yaptığını gözlemleyebiliyoruz. Peki, kim savaşıyor? İşte o kısım zayıf olduğumuz kısım. Askerimiz yok.

Bu yaklaşımın günümüze kadar sorgulanmadan gelmesinin asıl nedeni siber saldırıların türleriyle ilgili. Örneğin sızma olaylarında saldırganın sızma öncesi ve sonrası eylemlerinin uzun sürmesine karşın sızmanın kendisi en fazla birkaç dakika sürmektedir. Bugün geldiğimiz noktada ise özellikle Anonymous gibi gruplar tarafından yaygın olarak kullanılan DDoS gibi saldırılarda ise durum tam tersidir. Yoğun bir hazırlık gerektirmeyen bu saldırı türünde saldırı sonrasında da genellikle bir çalışma yapılmamaktadır. Diğer saldırıların aksine saldırının yoğunluğu ve süresi etkisini belirler. Savaş benzetmesine girersek bunu yoğun bir bombardımana benzetebiliriz. Bu durumda düşmanın geldiğini görmenin bize pek faydası olmayacaktır, saldırıyı gerçekleştiği sırada yönetmek önemlidir. Fikir olması açısından; 1 ay boyunca sürecek bir DDoS saldırısının pazarlıksız liste fiyatı 1,200 A.B.D. dolarıdır. 1 ay sürecek bir DDoS da pek çok şirketin canını sıkacaktır, özellikle o bir ay boyunca ne yapılması gerektiği belli değilse. Tabii elde bu tür saldırıları yönetecek bir çözüm yoksa durum daha da kötüleşebilir. Beline kadar çamurda bekleme benzetmesi şimdi biraz daha anlamlı gelmiştir.

“Siber savaş” demeyi sevenler bunun asimetrik bir savaş olduğunu kabul edeceklerdir. Gerçek dünyada asimetrik savaşlarda iki taraf arasındaki kaynak miktarının farklı olması kast edilir, “siber savaşta” ise ilginç şekilde kaynak farkı azımsanabilmektedir. Bir tarafın sahip olduğu teknolojiye diğer taraf da kolayca sahip olabilmektedir. Saldırı için kullanılan araçlarının çoğunun ücretsiz olması bir yana, savunma için kullanılan araçların da ücretsiz veya açık kaynak muadilleri vardır. O zaman asimetri nerede? Asimetrik olan şey bilgi, tecrübe ve zamandır. Saldırgan, özellikle kafayı bir nedenle hedefe takmış saldırgan bütün gününü bu işe ayırabilirken bilgi güvenliğinde çalışanlar gün içerisinde birden fazla işle ilgilenmek zorunda kalırlar. Mesai saatlerinin belli olması ise saldırganların faydalanabilecekleri bir rutin anlamına gelir. Rutin işler fiziksel güvenlik konusunda da engellenmeye çalışılır, örneğin korunması gereken bir bürokrat her gün işe aynı yoldan götürülmez.

Savaş odası kurulurken nelere dikkat edilmesi gerektiğine veya nasıl kurulması gerektiğine bu yazıda çok detaylı girmeyeceğim ama önemli olan bazı noktaları hatırlatmakta fayda görüyorum.

Saldırganlar 7/24 çalışıyor: Sizin de savunmanızın 7/24 çalışır durumda olması şarttır. Günümüzde sistemlerin mesai saatleri dışında gerçekleşen güvenlik olayları ile ilgili SMS göndermesini sağlamak zor değildir. Bu tür çözümler düşünülmelidir.

Ateş altında: Güvenlikten sorumlu birimin ateş altında neler yapılması gerektiğiyle ilgili eğitim alması şarttır. İdeali bu konuda en az 2 defa tatbikat yaparak ekibin gerçeğe yakın saha tecrübesi edinmesini sağlamaktır.

Neler olduğunu anlamak: Güvenlikten sorumlu birimin gerçekte neler olduğunu anlayabilmesi için bazı araçlara ihtiyacı vardır. Bunlar ücretli olabileceği gibi ücretsiz araçlar da olabilir ama eğitim almaları ve belli başlı saldırı türlerini tanıyabilmeleri önemlidir.

Ne yapacağını bilmek: Özellikle DDoS gibi yönetilmesi gereken saldırı türleri için ne yapılması gerektiğinin belli olması gerekmektedir. Böylece saldırının etkisi en aza indirgenebilir.



Tuesday, January 22, 2013

Hackerlara karşı KOBİ'ler


Avustralyalı bir tekstil firmasının anlattığına göre eposta Rusya’dan gelmiş.
Kendine “Ivan” diyen birinin gönderdiği eposta “3.500 dolar ödemezseniz birkaç dakika içerisinde sitenize bir DDoS saldırısı başlatacağım ve siteniz çalışmaz hale gelecek” diyormuş. Firma ödememiş ve saldırı başlamış. Firmanın sitesi 1 hafta boyunca çalışmaz hale gelmiş, sonrasında internet servis sağlayıcısı tarafından alınan tedbirler ise müşterilerin de önemli bir kısmını siteye ulaşamamasına neden olmuş.

Kahraman KOBİ hackerlara karşı (temsili)

İlk bakışta kötü bir macera romanından alınmış gibi görünse de bu olay yaşanmıştır. Bize uzak gelebilir ama bilgi sistemlerinin KOBİ’ler düzeyinde giderek daha yaygın halde kullanılması sonucunda bu firmalar siber saldırganlar için iştah açıcı bir Pazar haline gelmektedir. İnternet üzerinden satış yapan veya web tabanlı muhasebe sistemi kullanan KOBİ’lerin karşılaştıkları tehditler her geçen gün artmaktadır.

KOBİ’lerin karşılaştıkları güvenlik tehditlerini 4 ana başlıkta ele alabiliriz; fiziksel sistemlere yönelik saldırılar, kimlik bilgileri ve doğrulamaya yönelik saldırılar, hizmet kesme (Denial of Service) saldırıları, zararlı internet içeriği.

Başlıkları kısaca açıklayacak olursak; fiziksel sistemlere yönelik saldırılar şirkete ait bir laptopun çalınmasından, şirket ağına gizlice bir cihaz yerleştirilmesine kadar geniş bir yelpazeyi kapsamaktadır. Saldırılar fiziksel olarak yapılır ve/veya fiziksel varlıkları hedef alır. Kimlik bilgilerine yönelik saldırılar ise kullanıcı isimlerinin ve parolalarının çalınması, şirketin güvensiz parola politikalarına sahip olması veya gereğinden fazla yetkilendirilmiş kullanıcılar gibi tehditleri kapsar. Hizmet vermeyi engelleyecek saldırılar için DoS/DDoS (Denial of Service / Distributed Denial of Service) örneklerinin yanısıra doğal felaketler nedeniyle hizmet veremez hale gelmeyi de verebiliriz. Son başlık olarak verdiğimiz zararlı internet içeriği ise sosyal mühendislik aracılığıyla yapılan phishing saldırılarından zararlı yazılımlara kadar internet üzerinde barınan tehditleri kapsar.

KOBİ’lerin faaliyetleri internet ortamına kaymaya devam ettikçe bu şirketleri hedef alacak saldırıların sayısı artmaya devam edecektir. En basit haliyle; şirketinize gece birinin girip bilgisayarları çalmasını engellemek için alınan tedbirlerin siber dünyadaki karşılıklarını hatırlamak ve gerekli önlemleri almak şarttır.

Güvenlik yaklaşımı
Şirketlerin kapılarını aşındıran üretici, distribütör ve “Bilgi Güvenliği Şirketlerinin” yaratmaya çalıştığı imajın aksine size anlattıkları o son ürünü veya yazılımı satınalmanız sizi güvenli hale getirmeyecek. Bilgi güvenliğini sağlayabilecek tek bir cihaz / yazılım ne yazık ki henüz icat edilmedi. O nedenle farklı saldırıları engelleyecek farklı önlemler alınması gerekmektedir. Kademeli bir savunma sistemi tasarlanmalı ve adım adım hayata geçirilmelidir.

Saldırıların ve tehditlerin çok farklı noktalardan gelebileceğini bildiğimiz gibi güvenliğin de farklı amaçlara hizmet ettiğini unutmamak gerekir. Bilinen anlamıyla güvenliği amaçları aşağıdadır;

Gizlilik: Şirket bilgilerinin istenmeyen şahıslarla paylaşılmasını engellemek
Bütünlük: Şirket verilerinin değiştirilmesini veya silinmesini engellemek
Erişilebilirlik: Şirkete ait sistemlerin işlevlerini gerçekleştirebilmelerini sağlamak
Doğrulama: Beyan edilen kimliğin doğrulunun teyidi. Kimlik şahısların olabileceği gibi sistemlere ait kimlikler de bu kapsamda düşünülmelidir.
Asgari yetki: Uygulamaların ve kullanıcıların işlevlerini veya görevlerini yerine getirmek için ihtiyaç duydukları asgari yetkiye sahip olmalarını sağlamak. Fazla yetkiler en basitinden bir bilgisayara bulaşan bir zararlı yazılımının veya sızan bir saldırganın ağın kalanına yayılmasını sağlayabilir.
İnkar edilemezlik: Ağ veya sistem üzerindeki kayıtların kime ait olduğunun inkar edilemez biçimde saklanması.

Bütün bu noktaları bir anda güvene almak tabii ki mümkün olmayacaktır. Bu nedenle bilgi güvenliğini bir adım olarak değil, süreç olarak düşünmekte fayda var.

KOBİ’lerin Kamu Kurumları veya büyük şirketler kadar önemli bütçelere sahip olmamaları bilgi güvenliği sağlamaya engel değildir. Neyi korumanız gerektiğine karar vermek çoğu zaman hem para hem zaman tasarrufu sağladığı için iyi planlanmış ve düşük maliyetli bir güvenlik sistemi etkili olabilmektedir. “İki tür sistem vardır; hacklenenler ve hacklenecek olanlar” değişi son derece doğrudur; bu nedenle de milyonlar harcanmış bir sistem her zaman çok güvenli olamamaktadır.

Özetle;
  • Saldırganlar KOBİ’leri hedef almaya başlamıştır
  • Savunma birden fazla amaca hizmet etmek zorundadır
  • Güvenliğin önkoşulu çok para harcamak değildir.


Yukarıdaki 3 nokta KOBİ’ler için bilgi güvenliğinin temelinde yatan karmaşanın nedenini ortaya koymaktadır. Küresel ölçekte dev şirketleri dize getiren saldırılar KOBİ’leri hedef almaktadır, iş yapmak ve para kazanmak için KOBİ’lerin internete ihtiyacı vardır, güvenlik konusunda az biraz bilgisi olan herkes birşeyler satmaya çalışmaktadır. Pek iç açıcı bir durum değil elbette ama ümitsizliğe kapılmayın, bilgi güvenliği alanında faaliyet gösteren birkaç dürüst firma hala var :)

Saldırılara karşı alınabilecek bazı basit önlemler
Güvenlik yazılımlarını kullanın: Şirketteki her bilgisayarda anti-virüs olmalıdır
Güncellemeler: Sadece anti-virüs değil, işletim sistemleri, veri tabanları, muhasebe yazılımları, internet tarayıcısı eklentileri gibi yazılımlar da güncel tutulmalıdır.
Otomatik hale getirin: güncelleme ve yedek alma gibi düzenli olarak yapılması gereken işlemleri otomatik hale getirin.
Güçlü parola kullanımını zorunlu hale getirin: “Redhack”, “YÖK” ve “123456” desem bunun neden önemli olduğunu anlarsınız.
Eğitim: Şirketteki bilgisayar kullanıcılarını tehditler ve tehlikelere karşı eğitin
Politika: Şirketin bilgi güvenliğine yönelik bir politika mutlaka oluşturulmalıdır. “Ne? Neden? Nasıl yapılır?” gibi basit soruları cevaplayacak ve şirketin bilgi güvenliği yatırımlarına da yol gösterecek bir doküman oluşturulmasında fayda var.
Sosyal medya: Facebook gibi sosyal medya araçları şirketlere müşterilere yakınlaşma fırsatı verirken saldırganlar için de bulunmaz fırsatlar yaratmaktadır. Şirketinizin Facebook sayfasını politik bir mesaj vermek için kullanabilecekleri gibi, duvarınıza koyacakları bir bağlantı ile sayfanızı ziyaret eden müşterilerinizi zararlı kod içeren bir sayfaya yönlendirebilirler.

Bu birkaç tedbir ve daha önce kısaca değindiğim güvenlik yaklaşımını benimsemek şirketinizin genel bilgi güvenliği seviyesine bir miktar katkı sağlayacaktır. 


Wednesday, January 16, 2013

Oltaya gelmek: Phishing


Kullanıcı adı, parola, kredi kartı numarası benzeri bilgileri çalmak için kullanılan eposta dolandırıcılığına verilen genel addır.
Gmail benzeri br eposta hizmeti kullanıyorsanız, büyük ihtimalle bu mesajlardan bir kaç tanesini spam klasörünüzde bulabilirsiniz. Aşağıdaki görüntüde bana “Priority Mail Service” tarafından gönderilmiş bir kargo ile ilgili bir bilgilendirme epostası dikkatinizi çekebilir.




Epostayı açtığımızda ise bazı detaylar dikkatimizi çekiyor.



Öncelikle mailin gönderildiği adres “543_IK@kansas.com” olarak görülüyor. Bu gerçek bir mail olsa en azından gönderdiği iddia edilen şirkete (bu örnekte FedEX) ait bir alan adı olması gerekirdi. Hatırlamakta fayda var, maili gönderen eposta adresi “info@fedex.com” olsaydı bile, bu mailin gerçek olduğu anlamına gelmeyecekti.

Mailin benden başka kişilere de gönderildiği ve benim adıma yakın bazı adreslerin de rastgele eklendiği görülmektedir.

Bu örnekte hedef benim (kurban) zararlı kod içeren bir dosyayı indirmemdi. Benzer örneklerde Facebook acilen şifremi değiştirmemi isteyebilir veya Turkcell bana telefon faturamı gönderebilirdi... Phishing saldırıları kendi içlerinde çeşitli alt sınıflara ayrılmaktadır. Sıradan phishing saldırılarının yanında “Spear Phishing” olarak adlandırılan ve hedefe özel tasarlanmış epostalar gönderilmektedir. Buna örnek olarak halk müziğine meraklı bir daire başkanına “T.C. Kültür Bakanlığı Halk Müziği Dinletisi Davetiyesi” konulu bir eposta gönderilmesi verilebilir. Bu eposta yeterince özenle hazırlanırsa başarı oranı çok yüksek olabilir. Spear Phishing’den biraz daha tehlikelisi “clone phishing” olarak adlandırılan ve hedefin daha önce aldığı veya düzenli olarak aldığı gerçek bir epostanın birebir kopyalanarak kullanılmasıdır. İşletme körlüğü gibi etkenlerin de devreye gireceği bu saldırının başarı oranı daha da yüksek olacaktır. Son olarak, işin biraz fantezi tarafına kaçsa da, “whaling” olarak adlandılan ve yüksek seviyedeki veya ünlü kurbanları hedef alan phishing saldırıları da görülmektedir.  

Phishing saldırılarına kurban gitmemek için dikkat edebileceğimiz noktaların bazılarını ele alacağım.

Phishing saldırıları özünde sosyal mühendislik yöntemlerini kullanarak kurbanlara istediklerini yaptırmayı amaçlar. “Tehdit” (facebook şifrenizi değiştirin) veya “fırsat” (Ücretsiz iphone 5) gibi kurbanın harekete geçmesini sağlayacak etkenler kullanılır.
Sizden acil olarak bir şey yapmanızı isteyen epostalara şüpheyle yaklaşmakta fayda vardır.

Epostadaki bağlantılara tıklamayın. Ne olursa olsun, bağlantıya tıklamayın. Bundan bir süre önce (1 -2 yıl olabilir) A.B.D.’li tüketici koruma derneği “Better Business Bureau”yu google’da aratınca karşınıza çıkan sponsorlu bağlantılardan biri (reklam olarak çıkan siteler) görünürde derneğin sayfasına gidiyordu. Gerçek sayfaya gitmeden bağlantı çok kısa süreliğine (salise mertebesinde) zararlı kod içeren bir siteye yönlendiriliyor ve gerekli zararlı yazılım indiriliyordu. O nedenle “bağlantıya tıkladım, bir şey olmadı” diye ancak kendinizi avutursunuz.

Epostanın ekinde bir dosya varsa; açmayın ve indirmeyin. Asla.

Pop-up olarak karşınızda beliren hiç bir pencereye kendinizle ilgili kişisel veya mali bilgi girmeyin. Tarayıcı üzerinden yapılan saldırılar size özel pop-up pencereler açabiliyor (Bkz. Eurograbber)

Bilerek lades demeyin. Gmail bir epostayı spam olarak işaretleyip spam klasörüne koyduysa büyük ihtimalle bir bildiği vardır. Şaka bir yana, Google bu konuda başarılı. Eğer beklediğiniz bir eposta değilse (bazı internet sitelerinin kayıt teyidi için yolladıkları epostalar bazen bu klasöre düşebiliyor) bırakın orada kalsın.

Phishing konusunda eğitici olabilecek bir “oyun” için http://www.sonicwall.com/furl/phishing/index.php adresini ziyaret edebilirsiniz. 

Friday, January 11, 2013

Yeni nesil saldırılar


Siber saldırı vektörleri değişti. Her gün bir yenisi açıklanan yazılım açıklarının ötesinde saldırganlar birden fazla saldırı yöntemini birlikte kullanmaya başladılar. Son zamanların çok ses getiren saldırılarından birisi olan RSA saldırısı buna güzel bir örnek oluşturmaktadır. İnsan Kaynakları Bölümüne gönderilen “2011 işe alım planı.xls” dosyası Adobe Acrobat açığını kullanan bir zararlı kod içeriyordu.

"Anne ben vardım" diye komuta merkezini arayan malware (temsili)

Dikkatinizi çektiğinden eminim, saldırganlar genel konulu bir epostayı şirket geneline göndermediler, sadece İnsan Kaynakları Bölümü çalışanlarına ve kendi işleriyle ilgili “işe alım” bir eposta gönderdiler.
Buna benzer bir phishing saldırısı ile başlayabileceği gibi kurban bir internet sitesini ziyaret ettiğinde yüklenen bir yazılımla da başlayabilir. Bu yöntemlerin detayına girmeden saldırının bundan sonraki adımlarına göz atacağız. 
Saldırıların etapları hakkında bilgi edinmenin bu saldırıları sistem ve ağ seviyesinde yakalayabilmek için gerekli olduğunu düşünüyorum.

İkinci adım: sistemi ele geçirmek
Sistemin ele geçirilmesi çoğumuzun gözünde canlandığı gibi tek bir zararlı yazılımın indirilmesi ve kurulması ile gerçekleşmeyebilir. “Keylogger”, “file grabber”, “backdoor”, “trojan” ve türevi birkaç yazılım sisteme yüklenir. Bu sayede saldırgan sistem üzerinde tam olarak kontrol sahibi olur.

Üçüncü adım: “Anne ben vardım”
Sisteme yerleşen zararlı “anne, ben vardım” olarak da özetleyebileceğimiz şekilde komuta merkezi ile iletişim kurar. İletişim sistemden dışarıya doğru yapıldığı için çoğu şirketin güvenlik sistemlerinin dikkatini çekmeyecektir. Zararlılar komuta merkezi ile haberleşmeden günlerce veya haftalarca sessiz kalabilir ve kendilerini gizleyebilirler.

Dördüncü adım: “Buradan istediğiniz bir şey var mı?”
Annesini vardım diye arayan bir zararlının “buradan bir şey istiyor musun?” diye sormaması düşünülemez (fantastik bir benzetme oldu). Ne tür dosyaları dışarı göndereceğine karar vermek için zararlı yazılım komuta merkezinden bilgi bekleyebileceği gibi önceden tanımlı kurallara göre de hareket edebilir. Buna en güzel örneklerden birisi “Pixsteal” olarak bilinen ve bulaştığı sistemde ilk bulduğu 20.000 adet .jpeg veya .jpg uzantılı dosyayı bir FTP sunucuya yükleyen zararlıdır.

Beşinci adım: “Anne bak bu gelinin”
Bir sisteme bulaştıktan sonra zararlı ağ üzerinden yayılabildiği kadar yayılma eğilimindedir. Bu sayede saldırgan tek bir sistemin kaynaklarına ve içeriğine erişmekle kalmaz, ağ üzerinde sömürebildiği veya ele geçirebildiği her şeye ulaşmış olur. (Fantastik benzetmelerin sonuncusu olarak yeni bulaştığı sistemleri “gelin” olarak “annesiyle” tanıştırması aklıma geldi, bu saatte bu kadar, özür dilerim.)

RSA saldırısına dönecek olursak; bu beş adım aşağıdaki şekilde gerçekleşmiştir.
İlk adım: İnsan Kaynakları Bölümüne yapılan phishing saldırısı ile zararlının sisteme yüklenmesi
İkinci adım: Saldırgan açılan arka kapıdan sisteme erişiyor.
Üçüncü adım: Saldırgan önce sistem içerisinde yetkilerini yükseltiyor. Daha sonra ağ üzerinden aradığı sisteme ulaşana kadar yayılıyor.
Dördüncü adım: Saldırının gerçek hedefi olan sistemden istenilen veriler toplanıyor ve dışarıya gönderilmek için hazırlanıyor.
Beşinci adım: Veriler şifreli olarak FTP ile dışarıdaki bir sunucuya yükleniyor.
 Saldırının sonucunda oluşan kayıplar 66 milyon A.B.D. doları olarak tahmin ediliyor.

“Güvenlik cihazlarına o kadar para yatırdık, onlar ne işe yarar?”
Bu sorunun basit bir cevabı ne yazık ki yok. Şu ana kadar bütün saldırılara karşı etkili olacak bir savunma sistemi üretilmedi. Bu tür saldırıların hangi sistemi nasıl atlattıklarına kısaca bakarsak;

Firewall (güvenlik duvarı): İletişimin nereden gelip nereye gittiğine baktığı için iletişim içerisindeki zararlı kodları tespit etmesi zaten mümkün değildir.

IPS (Intrusion Prevention System – Sızma Engelleme Sistemi): İmza tabanlı çalışan sistemlerin “sıfır gün açığı” olarak adlandırılan yeni keşfedilmiş saldırıları tespit etmesi mümkün değildir. Bunun yanısıra IPS atlatılabilir bir sistemdir.

Anti-virüs: Anti-virüs yazılımları zafiyet taraması yapmadığı için bu konuda zaten pek faydaları olmaz. Ayrıca zararlı kodlar virüslerden farklı bir tür olduğundan çoğu anti-virüs yazılımının imza veri tabanında bulunmazlar veya tespit edilmeleri zordur.

Anti-spam: Bu noktada Anti-spam çözümlerinin sizi sadece can sıkıcı reklamlardan korumakla kalmaz phishing saldırılarını da tespit ederler ve bu nedenle önemlidirler. Yeni açılmış veya bu işe özel açılmış bir phishing sitesi itibar tabanlı (reputation based) anti-spam çözümleri tarafından tespit edilemeyeceği için ve epostanın da amatörce hazırlanmamış olması halinde büyük ihtimalle phishing epostası kurbana ulaşacaktır.
URL filtreleme çözümleri: Bu çözümlerin asıl kullanım amaçlarının pornografik içerik veya oyun sitelerini yasaklamak olduğu düşünülürse saldırganların zararlı kod yaymak için kurdukları bir siteyi çoğu zaman engelleyemeyecekleri ortadadır.

-          “O zaman?” 
-          “Aklımızı kullanacağız!”

Öncelikle kullanıcıların eğitimine önem verilmelidir. RSA örneğinde phishing epostasının bir kullanıcı tarafından “istenmeyen eposta” (junk mail) klasöründen çıkartılarak ekinin açıldığı bilinmektedir. Eğitim bu tür bir hatanın yapılmasını önleyecektir.

Aklımızı kullanma kısmında ise yazılımları güncel tutmanın yanında gelen ve giden trafiğin denetlendiği cihaz üzerinde (örneğin Firewall) ihtiyaç duyulmayan bütün trafiklerin kapatılması şarttır.

Son olarak şirketten çıkan internet trafiğinin periyodik olarak incelenmesi komuta merkeziyle haberleşen zararlının tespit edilmesini sağlayacaktır. Örnek olarak bilinmeyen bir şifreleme kullanan HTTPS trafiği veya Almanya’ya doğru yapılan FTP trafiği verilebilir...

Wednesday, January 9, 2013

Sosyal mühendislik


“insan aptallığına yama yazamazsınız” deyimi bilgi güvenliği alanında oldukça popülerdir. Sistemdeki açıkları yama denilen küçük eklentiler ile kapamak mümkün olurken bilinçsiz veya dikkatsiz bir kullanıcının sistem güvenliğini tehlikeye atmasını engellemek çok daha zordur. Sosyal mühendislik kavramı hedef sistemle etkileşim halinde olan kullanıcıları hedef alır.



Sadece sosyal mühendislik saldırıları için değil, internet kaynaklı bütün tehditler hakkında aklıda tutulması gereken başlıca nokta saldırganın sahip olduğunuz şeylere sizden farklı değerler veriyor olmasıdır. Örneğin sizin için sıradan bir bilgi olan dahili telefon numaranız veya şirket içerisinde kullandığınız jargon saldırganın sizden biriymiş gibi davranmasını kolaylaştıran önemli bilgilerdir. Sosyal mühendislik saldırıları sırasında ilk öğrenilen şey hiç bir bilginin önemsiz olmadığıdır. Hedef sistem kullanıcıları genellikle bilgiye daha az değer verirler.

Sosyal mühendislik saldırıları genelde bir senaryo üzerine oturtulur. Hedef olarak seçilen kişiyle ihtiyacınız olan bilgiyi almanızı haklı gösterecek bahaneler senaryonun parçalarıdır. Çokça anlatılan ve hedefi “iyi günler, şirketinizin Bilgi İşlem Bölümünden arıyorum, kontrol etmek için kullanıcı adınıza ve parolanıza ihtiyacım var” şeklinde telefonla arayarak bu bilgileri ele geçirildiği anekdot bile senaryo içermektedir.

Teknik sızmalardaki gibi kesin bir süreç olmasa da sosyal mühendislik saldırılarının bileşenlerini inceleyerek bu saldırılar hakkında bilgi edinebiliriz.
Sosyal mühendislik saldırıları temel olarak Rober Cialdini tarafından tanımlanan “insanların altı eğilimi” üzerine kurulur.

Altı Eğilim

Otorite
Genel olarak insanlar otorite pozisyonunda olanların sözünü dinleme veya talimatlarını yerine getirme eğilimi gösterir. Saldırgan kendini kolayca otorite sahibi birisi gibi gösterebilir, fiziksel olarak bunu yapması belli araç ve gereçler (üniforma veya görev yazısı gibi) gerektirirken telefonda bunu yapmak daha kolaydır.

Hoşlanmak
Birinden hoşlanmak o kişiden gelen istekleri daha kolay yerine getirmemize neden olur. Hedefin saldırgandan hoşlanması için çekici bir fiziğe sahip olması gerekmez ortak bir ilgi alanına sahip olduğuna veya hemşerilik gibi daha soyut kavramlar kullanılarak da hedefin sizden hoşlanmasını sağlayabilirsiniz.

Karşılık vermek
Bize yapılan en küçük iyiliği bile karşılık bırakmayız, bu özelliğimiz ise saldırganlar tarafından kolayca kullanılabilir.

Tutarlılık
Verdiğimiz kararlardan caymak zayıf veya güvenilmez görünmemize neden olabilir. En azından insan olarak bu şekilde düşünürüz. Vietnam savaşında bu yöntem Amerikalı savaş esirleri üzerinde bolca kullanılmıştır. Yakalanan askerin önce basit bir konuda Vietnamlı sorgu subayına hak vermesini sağlayıp daha sonra diledikleri sözlü açıklamaları yaptırabildiler. Komünist düzenin işsizliği ortadan kaldırabileceği gibi basit bir konuyu kabul ettikten sonra bir askeri Vietnam savaşının haksız olduğunu ve Amerika'nın Vietnam'dan çekilmesi gerektiğini söyletmek sorgu subayları için çok kolay olmuştur.
Saldırgan ise size önce basit bir konuda “evet” dedirtip adım adım sizi istediği yere çekebilecektir.

Toplumdan kabul görme
Başka insanların veya toplum genelinin yaptığı, söylediği, düşündüğü şeylere uyum sağlamaya çalışırız. Bu sayede kendimizi güvende hissederiz ve toplum içerisinde uyumlu görünürüz. Bu zafiyetten faydalanmak için saldırgan size başka insanların aynı talebe olumlu cevap verdiğini söyleyebilir. “Şirket genelinde bir araştırma yapıyoruz” veya Facebook sayesinde sizinle aynı Üniversitede okumuş bir arkadaşınızın adını bulup “Adınızı Ali Veli Bey’den aldık, kendisi bize yardımcı olabileceğinizi söyledi” benzeri söylemlerle sizi başka insanların bu talebi onayladığına inandırabilir.

Kıtlık
Az bulunduğuna inandığımız şeyleri fırsat olarak görme eğilimi içerisine gireriz. Kısa sürede biteceğine inandığımız bir “indirim” veya “kampanya” bizi aslında ihtiyacımız olmayan bir şeyi almaya veya normal şartlarda kabul etmeyeceğimiz bir talebi kabul etmemize neden olabilir. Saldırgan “kayıt yaptıran ilk 250 kişiye özel fırsat” konulu bir e-posta gönderip hedefin bir siteye üye olmasını sağlayabilir, kullanıcıların önemli bir bölümünün her durumda aynı parolayı kullandığını düşünürsek bu sayede hedefin işle ilgili kullanıyor olabileceği parolayı da ele geçirmiş olur.



Temel Dürtüler
Bu altı eğilime ek olarak insanları hareket geçirmeye iten üç temel dürtü olduğunu hatırlamakta fayda var: Açgözlülük, korku ve cinsellik. Açgözlülük için en güzel örnek “Nijeryalı dolabı” olarak da bilinen e-postaların yıllardır hala belli bir başarı düzeyi yakalıyor olmasının nedeni insanların açgözlülüğüdür. Nijeryalı/Libyalı/Angolalı/Suriyeli bir general/subay kızı/prenses/bakan yardımcısı olduğunu iddia eden kişi sizden parasını/altınlarını/elmaslarını ülke dışına çıkartabilmek için yardım istemektedir. Genelde sadece bir banka hesap numarası vermenin karşılığında birkaç milyon dolar kazanacağınızı söyler. Daha sonra banka masrafları/rüşvet/avans gibi bahanelerle hedeften para sızdırır.  
Korkuyu kullanan ve ülkemizde çok popüler olan bir yöntem var. MİT/Adliye/Emniyet Genel Müdürlüğü/Jitem gibi yerlerden aradığını söyleyen saldırgan ergenekon/PKK ile bağlantınızın tespit edildiğini ve kontör/para vermeniz karşılığında sizi “kurtarabileceklerini” iddia eder. Yöntem o kadar etkilidir ki Emniyet Müdürlüğü vatandaşı uyarmak için SMSler göndermeye başlamıştır.
Cinsellikle ilgili ufak da olsa bir tebessümle hatırladığımız “Bulgar kadın dümeni” ilk aklımıza gelendir. Bulgaristan'dan arayan bir kadın aradığı hedeften çok etkilendiğini ve onunla tanışmak istediğini söyler. Bunun üzerine hedef Bulgaristan'a çekinmeden para gönderir. Bu şekilde anlatılınca “bu kadar da olmaz” dedirtse de bu yöntem saldırganlar açısından oldukça verimlidir.

Saldırganların yukarıda gördüğümüz dürtülerden faydalanmak için kullanabilecekleri yüzlerce yöntem vardır. Bunların arasında önemli olduğunu düşündüğüm iki tanesine yer vermek istiyorum.

Yemleme
Yemleme saldırganın hedefe istediğini söyletmek için kullanabileceği en etkili yöntemdir. Yemleme konusunda başarılı olmak için aşağıdaki teknikler kullanılabilir.

Egoya oynamak
İnsanlar övülmeyi ve önemli hissedilmeyi sever. Egoyu hedef alan saldırılar özellikle kendini beğenme eğiliminde olan bir hedefe yönlendirildiğinde beklenenin üzerinde iyi sonuçlar vermektedir. Orta kademe yöneticiler, kendini bir konuda “uzman” olarak tanıtan ve sonradan zengin olmuş kişilerden bu yöntemler bilgi sızdırmak oldukça kolaydır.

Ortak yönleri kullanmak
Ortak bir ilgi alanı sayesinde saldırgan hedefle kurduğu ilişkiyi meşrulaştırabilir ve aynı zamanda bunu bir yemleme yöntemi olarak kullanıp bilgi sızdırabilir. Balıkçılık gibi bir merakı olan hedefle bu konuda ilişki kurulduğunu düşünelim. Saldırgan “balık avlama videosu” bahanesiyle bir dosya gönderip bilgisayarına veya cep telefonuna dilediği yazılımı yükleyebilir. Bu sayede hedefin kamerasını izlemek, yazdıklarını görmek gibi temel istihbarat görevlerini başlatabilir. Buna ek olarak saldırı fiziksel bir sızma gerektiriyorsa laf arasında bile “bizim şirket güvenlik kamerası/hareket sensörü/kapı geçiş sistemi almak istiyor, sizin orada ne kullanılıyor? Memnun musunuz?” gibi normalde tehlike çanlarını çaldıracak bir soru “balıkçı bir arkadaş” tarafından sorulduğunda rahatlıkla cevaplanacaktır.

Bilerek yanlışlık yapmak
Bilgi almak istediği bir konuda saldırgan bilerek hatalı bir cümle kurarak hedefin kendisini düzelterek doğru bilgiyi vermesini sağlayabilir. Örneğin “sizin gibi eski işletim sistemi kullanan yerler...” cümlesi büyük ihtimalle “ne eskisi? Sene başında son sürüme geçtik, Haziran ayında da güncellememizi yaptık!” tepkisini getirir. Hedefin bir suçu yok, insan doğası gereği karşısındakinden daha bilgili olduğunu göstermek ister. Bunun onu daha güçlü bir pozisyona getireceği içgüdüsüyle yaptığı bu atılım ne yazık ki saldırganın asıl istediği işletim sistemi bilgisine kolaylık ulaşmasını sağlamıştır.

Konu hakkında bilgi sahibiymiş gibi davranmak
Bir konu hakkında bir miktar bilgisi olan biriyle o konu hakkında konuşmanın kabul edilebilir olduğunu düşünürüz. Saldırganlar ise bunu bir konuda sahip oldukları az miktarda bilgiye daha fazlasını eklemek için kullanır.

Soru sormak
Saldırgan hedefe gidip “uzaktan erişim için kullandığınız parolaları öğrenebilir miyim?” diye soramaz tabii ki ama akıllıca sorularla hedefi istediği yere yönlendirebilir. “Dünkü maçta Fenerbahçe iyi oynadı değil mi?” sorusu “evet”, “yaa” veya “her zamanki gibi” gibi konuşmayı tıkayabilecek cevaplara yol açar. Bu nedenle saldırganlar mümkün olduğunca ucu açık sorular sorar, aynı örneği ele alırsak soru “dünkü maçta Fener sence nasıl oynadı?” şeklinde değişecektir. Cevabın evet veya hayır ile sınırlı kalmayacağı sorular saldırganın işine yarar. Saldırgan soruları hedefi yönlendirmek için de kullanabilir.  Görgü tanıklığı konusunda dünyanın önde gelen uzmanlarından Elizabeth Loftus tarafından yapılan basit bir deney soruların insanları yönlendirmek için nasıl kullanılabileceğini açıkça gösterir. Bu deneyde deneklere için ayıcık olmayan bir çocuk odası fotoğrafı gösterilir. İki gruba ayrılan deneklerin bir kısmına “resimdeki ayıcığı gördünüz mü?” diye sorulurken diğer gruba “resimde ayıcık gördünüz mü?” diye sorulur. Çocuk odasıyla ayıcık olguları hepimizin kafasında birleştiği için “resimdeki ayıcığı gördünüz mü?” diye sorulan grup çoğunlukla gördüğünü belirtirken diye grubun çoğunluğu ayıcığı görmediğini söylemiş.

Bahane
Sosyal mühendislik saldırılarında kullanılan bahaneler hedefi yanıltmak ve istenileni elde etmek için kullanılan her şeyi kapsar. Saldırganın hedefle meşru şekilde iletişim kurmasını açıklayan bir hikayeden saldırganın kullanacağı ses tonu, kıyafet, aksesuar gibi diğer her şey de bahaneyi oluşturur. Saldırgan tarafından kullanılacak bahanenin başarısı büyük ölçüde aşağıdaki noktalara bağlıdır.

Araştırma yapmak
Yeterli miktarda araştırma yapmak saldırganın bahanesini daha inandırıcı hale getirir. Hedef hakkında öğrendiği teknik bilgiler, personel isimleri ve hatta eski personel isimleri bile bahanenin inandırıcı olmasına büyük ölçüde katkı sağlar.
Şahsen ilgilendiğiniz konuları bahaneye dahil etmek
Sosyal mühendislik saldırılarında hedefin saldırgana güvenmesi önemlidir. Bu nedenle saldırgan bilgi sahibi olduğu veya ilgisini çeken bir konuyu bahaneye ekleyerek bu konuda konuşurken kendine daha çok güvenmesini sağlar. Saldırganın o konudaki bilgisine duyduğu güven karşı tarafa yansıyacaktır. Ayrıca konu hakkında sahip olduğu bilgi miktarının artması saldırganın konuyu dilediği gibi uzatmasına ve böylece hedefle konuşmayı gerçekte istediği yöne çekebilmesini sağlar.

Bahanenin basit olması
Bahanenin basit olması saldırganın detaylara hakim olmasını sağlar. Bahaneler zorlaştıkça detayları hatırlamak zorlaşır ve bu saldırganın hata yapmasına neden olur. Hem kendi hikayesinin detaylarını hatırlamaya çalışmak, hem hedefi yönlendirmek için doğru sözleri söylemek hem de hedeften gelen tepkileri ve cevapları doğru algılamak saldırganı zorlayacaktır. Bu nedenle bahanenin basit olması saldırının başarısı için hayati önem taşır.

Son dakika haberi
Her şeyin o anda gelişiyormuş gibi görünmesi hedefin saldırgana inanması ve güvenmesi için gereklidir. Kağıttan okuduğu belli olan cümlelerle hedefi bir konuda acil eylem alması gerektiğine inandırması çok zordur. Saldırgan konuyu dağıtmamak veya bahanesinin önemli kısımları hatırlamak için ana hatları liste halinde yazabilir ancak çok detaylı yazmaması duruma daha hızlı uyum sağlamasına imkan verecektir. Bahaneye duyguları katmaya çalışmak iyi bir fikir gibi görünse de saldırgan açısından risklidir. Katmaya çalıştığı duygunun yanında korku veya tedirginlik de katabileceği gibi hedefi son derece rahatsız edecek aşırı heyecan da ses tonuna yansıyacaktır.

Devamını unutmamak
Teknik sızmalar gibi sosyal mühendislik saldırılarında da hedefle tekrar iletişim kurabilmek önemlidir. Bu nedenle saldırgan almak istediği bilgiyi alır almaz telefonu hedefin suratına kapatamaz veya odadan bir anda koşarak çıkamaz. Örneğin teknik servis bahanesiyle girdiği bir yerden çıkarken hedef personeline inandırıcı bilgiler vermesi saldırgana oraya aynı bahane ile dönebilme imkanı verir.