Sunday, August 31, 2014

Boşa giden 250 milyon dolar

250 Milyon Dolar… Fikir vermesi için bu rakam JP Morgan Chase bankasının sadece 2014 yılında bilgi güvenliğine yaptığı yatırımdır. 
Bu ölçekte güvenlik yatırımları yapan bir bankanın hacklenmesi tek başına kötü bir haber iken, FBI’ın bu olayın 5 diğer küresel bankayı da hedef alan daha geniş kapsamlı ve planlı bir saldırının parçası olup olmadığını araştırıyor.

JP Morgan’da ne oldu?
Aklımıza ilk gelen soru sadece güvenliğe 250 milyon dolar harcayan bir yerin nasıl hacklenmiş olabileceğidir. 
Herşeyden önce bilmemiz gereken şey saldırının bir anda olmadığıdır. Filmlerden alışkın olduğumuz şekilde gecenin karanlığında klavyesinde birşeyler yazan siyah giyimli ve önünde terminal ekranı olan bir kişinin saldırısı değil. Yayınlanan raporlardan gördüğüm kadarıyla saldırganlar JP Morgan Chase sistemlerinde 2 aydan fazla süre tespit edilmeden dolaşmışlar. 

Saldırının başlangıcı ve hackerların banka sistemlerine ilk sızdıkları noktanın bankanın internet sayfası olduğu düşünülüyor. Web sayfasında bulunan bir zafiyet istismar edilerek web sayfasının bulunduğu sunuculara erişim sağlayan saldırganlar veri merkezinde bulunan diğer sunuculara sızmışlardır
.
Saldırının 5 önemli adıma bakarak aşağıdaki saldırı sürecini çıkartabiliriz.





Adım 1: Saldırganlar bankaya ait internet sitesinde bir güvenlik açığı tespit ediyor

Adım 2: Bu güvenlik açığından faydalanan saldırganlar web sitesinin barındırıldığı sunucuyu ele geçiriyor

Adım 3: Bankanın sunucu havuzu içerisinde yatay hareket

Adım 4: Bankacılık işlemlerinin tutulduğu sunuculara sızıyorlar

Adım 5: Ele geçirdikleri hassas verileri aralarında Brezilya ve Rusya’nın da olduğu çeşitli ülkelerde bulunan sunuculara gönderiyorlar. 

Saldırıların her aşamasında “0-day” güvenlik açıklarından ve istismar kodlarından faydalanılmış olması saldırganların bilgi ve beceri seviyesinin oldukça yüksek olduğunun bir kanıtıdır. “0-day” (sıfırıncı gün) açıkları bulunmuş ancak henüz üretici veya kamuoyu tarafından bilinmeyen güvenlik açıklarıdır. Bu güvenlik açıkları uluslararası ticarete konu olmaktadır ve önemli açıklar milyonlarca dolara varan fiyatlarla satılmaktadır. Bu olaydaki saldırganlar ya teknik kaynakları olduğu için açıkları kendileri tespit etmiş, veya finansal güçlerini kullanarak bu açıkları piyasadan satınalmışlardır.

Saldırının başarıya ulaşmış olması ise bize saldırganların bu işe zaman ve kaynak ayırdıklarını gösteriyor. Öncelikle bankanın gelişmiş sızma tespit ve önleme sistemleri özel olarak geliştirilmiş zararlı yazılımlar ve istismar kodları kullanılarak atlatılmıştır. Bu ukodları yazmak ve bankanın kullandığı güvenlik sistemleri hakkında bilgi toplamak teknik bilgi, zaman ve birden fazla alanda beceri gerektiren bir süreçtir. İkinci aşamada ise 1 aydan fazla sürede banka sistemlerinden dışarıya gönderilen gigabaytlarca verinin aktarımının bankanın veri sızdırma (Data Loss Prevention – DLP) sistemlerini atlatacak şekilde yapılması yine saldırganların sıradan kişiler olmadığını kanıtlamaktadır. 

Yıllık bütçe raporunda “2014 yılının sonuna kadar bilgi güvenliğine 250 milyon dolar yatırım yapacağız ve bilgi güvenliği kadromuzu 1000 kişiye çıkartacağız” diyen bir bankanın bile hacklenmesi bu kadar kolayken daha küçük ölçekli finans kuruluşları ve özel şirketler kendilerini nasıl korur? Öncelikle bu saldırıdan gerekli dersleri çıkarttığımızdan emin olmalıyız.

JP Morgan Chase olayından çıkartılacak dersler

İlk ders, her zamanki gibi, güvende olmadığınız gerçeğini kabul etmektir. Yeni aldığınız firewall veya laptoplarınızdaki antivirüsler size güvenlik sağlamaz. Güvende olmak için cihazların ve yazılımların ötesine geçerek genel güvenlik seviyesi ele alınmalıdır. Mesela firewall’un sadece port engelleme yaptığını ve insanların web sayfanıza ulaşabilmeleri için 80.portu açık tutmanız gerektiğini ve büyük ihtimalle IPS/IDS’in (sızma tespit ve engelleme sistemi) iyi yazılmış bir SQL injection kodunu yakalayamayacağını kabul etmeniz gerekir. 
Ders 1: 250 milyon Amerikan Doları bile harcasanız hacklenebilirsiniz

Saldırının nispeten önemsiz gibi görünebilecek bir yerden başladığına dikkat etmek lazım. Öyle ya, banka bile olsa internet sayfalarında müşteri hesap bilgilerini tutmayacaktır. İnternete açık her sistemin, güvenlik kameraları, POS cihazları, cep telefonları, sıra matikler dahil olmak üzere, saldırıya uğrayabileceğini bilmek gerekir. İnternete açık bir şey için şu cümlerlerden birini kullanıyorsanız yakın zamanda başınıza kötü bir şey gelebilir; “kimse bununla uğraşmaz”, “IP var sadece, bunu bulamazlar” veya “şifreyi bilmeyen giremez”…
Ders 2: Bir şey internete açıksa birileri bulur ve saldırır. 

JP Morgan Chase saldırısının 5 temel adımdan oluştuğunu gördük. Daha küçük hedeflere yönelik saldırılar da aynı şekilde birden fazla adımdan oluşan bir zincir ile gerçekleştirilmektedir. Yukarıdaki senaryoda saldırganların web sayfasının bulunduğu sunucuları ele geçirdikten sonra diğer sunuculara erişemediğini varsayalım. Bu durumda Bankanın başına gelebilecek en kötü şey web sayfalarına “h4ck3d by l33tsec” türü yazı eklenmesi olacaktı. Benzer şekilde saldırganlar sistem sunucularından müşteri işlemlerinin tutulduğu sunuculara geçemeseydi müşteri verilerine ulaşamayacaklardı. Son olarak da ulaştıkları verileri dışarı gönderemeselerdi yine sorun büyük ölçüde azalacaktı. Zafiyetleri ve potansiyel saldırı vektörlerinin ortaya çıkartılmasının yanında, risk analizleri sırasında önem verdiğim noktalardan birisi de bu tür “kâbus zincirlerini” ortaya çıkartmaktır. Bulduğum her zinciri birden fazla yerinden kopartarak benzer senaryoların yaşanmasını önlemeye çalışıyorum. Böylece saldırgan sisteme sızsa bile sistemden bilgi sızdıramayacak veya sızdığı sistemden bir diğerine atlayamayacaktır. 
Ders 3: Başınıza gelebilecek en kötü şey için bir araya gelmesi gerekenleri bulun ve bir araya gelmediklerinden emin olun. 

Yapılan saldırıların ürettiği logları düşünürsek daha küçük ölçekli bir bankada veya herhangi bir Türk bankasında dikkat çekecek kadar garipler. Özellikle dışarı bilgi gönderildiği aşamada Brezilya ve Rusya’da bulunan sunuculara yapılan veri transferi basit bir scriptle bile kolayca ortaya çıkartılabilecektir. Sadece sızdırılan bilgiler değil, zararlı yazılımların komuta sunucuları ile olan iletişimi de bu şekilde yakalanabilir.
Ders 4: Ağınızdan çıkan trafiği izlemeniz çok önemli.

Diğer öneriler
Bu olaydan almamız gereken derslerin devamı olarak bazı basit önerilerim olacak;

Web sayfanızı dışarıda tutun: Hayır, DMZ’de değil, tamamen dışarıda. Bir hosting hizmeti alacak şekilde dışarıda.

Güvenlik analizleri yaptırın: Sızma testlerinin dışında da bu tür saldırı senaryolarının ortaya çıkartılacağı çalışmalar yaptırın

Sistemlerinizin kendi aralarında ne konuştuklarını takip edin: Örneğin web sunucunuz ile dosya sunucunuzun iletişim kurmasını gerektirecek bir neden olup olmadığını araştırın. 

Hata loglarını takip edin: Ne kadar iyi olursa olsun hacker hata loglarına neden olacaktır. Bunları tespit etmek, saldırıyı ve saldırganı tespit etmek için hayati önem taşır.






Tuesday, August 26, 2014

DDoS, FBI ve Bomba İhbarı

Siber saldırılar konusunda arada bir de olsa beni heycanlandıran bir olayla karşılaşıyorum.
Mesleki deformasyon olsa gerek bir saldırganın özel olarak hazırlanmış bir oltalama (phishing) maili ile yine özel olarak hazırladığı bir zararlı yazılımı birine gönderip sistemi veya networkü ele geçirmesi beni eskisi kadar heycanlandırmıyor.

Resim 1: Haddinden fazla güvenlik ihlali gören ben (temsili)

Ancak geçtiğimiz günlerde SONY'nin başına gelenler normalde gördüğümüz saldırılardan biraz farklıydı.

Sony'de ne oldu?
24 Ağustos'ta yapılan DDoS saldırısı Kuzey Amerika'daki Play Station Ağını (Play Station Network) hedef aldı ve Play Station 3 ve Play Station 4 kullanıcılarının bu ağa erişimini engelledi.

DDoS Nedir?
Fazlasıyla gündemde olan DDoS saldırıları yapılması en basit ama savunması en zor saldırılardır. DDoS (Distributed Denial of Service) Türkçe'ye Dağıtık Hizmet Dışı Bırakma Saldırısı olarak geçmiştir. Bu saldırıların amacı hedef sistemin kaynaklarını tüketerek kullanıcıların sisteme erişimini engellemektir. Saldırıların hedef aldığı kaynaklar internet bağlantısı (bant genişliği), sistem işlemci kapasitesi ve sistemin hizmet verebileceği oturum sayısı olabilmektedir.
Saldırganlar ile kullanıcıları ayırmak zor olduğu için de bu saldırılara karşı kendimizi korumak uzmanlık ister.

Sony'yi hedef alan bu saldırıda ise NTP (Network Time Protocol) kullanarak saldırının etkisi arttırılmış ve toplam saldırı bant genişliğinin 263 Gbps (saniyede 263 Gigabit) olduğu iddia edilmektedir. SNMP protokolü gibi protokollerin bu tür saldırıların etkisini arttırmak için kullanıldığına bu yazımda kısaca değinmiştim (http://www.alperbasaran.com/2014/05/yalnz-161-yaz-ile-yuzaltmsbir.html), belki de DDoS konusunda daha kapsamlı bir yazı hazırlamanın zamanı gelmiştir.

Sony'de Asıl ne Oldu?
DDoS saldırısının dışında asıl dikkat çekici olay DDoS saldırısını üstlenen çetenin SONY'nin Balkanı John Smedley'i taşıyan uçakta bomba olduğuna dair attıkları Tweet idi.

Resim 2: Lizard Squad grubu tarafından atılan Tweet

Bu Tweet üzerine havadaki uçak en yakındaki havaalanına indirildi ve uçakta bomba araması yapıldı. Uçağın indirilmesi ve bomba araması işlemleri sırasında FBI (bkz. "lanet olası Federaller") da operasyona önemli ölçüde dahil olmuş. 

EEeeee?
Eeesi şunlar;
1- Gerçek hayatta bir müdahale ile siber ortamda bir saldırı eşzamanlı olarak yapıldı. 
Bunu daha önce ülkeler arasındaki operasyonlarda görmüştük ama özel bir şirketin bu şekilde hedef alındığını ilk defa duyuyoruz. 

2- FBI bir siber suç grubunun bomba ihbarını ciddiye alarak uçak indirdi.
FBI Twitter üzerinden yapılan bir hacker grubunun tehdidini bu kadar ciddiye aldığına göre siber ortamda suç işleyen örgütlerin gerçek suç örgütleri ile aralarındaki bağlantıların gözden geçirildiği ve siber saldırıların yanında fiziksel saldırıların da beklenmesi gereken bir döneme girdiğimizin göstergesidir. 

Bu grup ve eylemlerini yakından takip etmekte fayda var, güvenlik konusunda öğrenebileceğimiz bazı şeyler var gibi. 




Tuesday, August 19, 2014

Sürekli bir yerler hackleniyor

Evet, her gün yeni bir güvenlik ihlali duyuyoruz. Önce SSL sertifikalarının güvenliğini ihlal eden "Hearbleed" çıktı, sonra alakasız bir Rus hacker çetesi ellerinde milyarlarca kullanıcı bilgisi olduğunu açıkladı. Bundan önce Evernote, ondan önce Ebay... Sürekli birşeyler oluyor ve ben her seferinde aynı tweetleri atıyorum: "bilmem neresi hacklenmiş, parolanızı değiştirin"... Dünyanın en iyi radyo programı "Özgür'le Morning Show" da duyurmama yardımcı oluyor. (Ayrıntılar için http://www.maxfm.com.tr/)

Resim 1: Ebay hacklendi

Resim 2: Evernote hacklendi. 

İnternet kimliklerinizin kötü niyetli kişilerin ellerine geçmesine neden olabilecek bu durumlarda işi gücü bırakıp parola değiştirmeye koşmamak için alınabilecek bazı basit tedbirler var. 

1. Bütün yumurtalarınızı aynı sepete koymayın
Belirli işler ve hesap türleri için kullanılmak üzere farklı eposta adresleri oluşturun. İlk aklıma gelenler; bankaya vermek üzere, alışveriş sitelerinde kullanılmak üzere, sosyal medyada kullanılmak üzere, ve Androi cihazınızda kullanılmak üzere çeşitli eposta adresleri almakta fayda var. Böylece sosyal medya için kullandığım bir eposta adresime Turkcell veya Turk Telekom faturası görünümlü bir eposta gelirse bunun sahte olduğunu kolayca anlayabiliyorum. 

2. Eposta adresiniz dışında bir kullanıcı adı belirleyin
Bu sayede saldırganların eposta adresinizi öğrenmesi yetmeyecek, bir de kullanıcı adınızı tahmin etmek zorunda kalacaklardır. 

3. Her hesap için farklı bir parola (şifre) kullanın
Hesabınız olan her hangi bir sayfa veya uygulama hacklenirse saldırganların diğer hesaplarınız tehlikeye girmeyecektir. Parolayı hatırlamak için sitenin adından faydalanabilirsiniz, diyelimki asıl sifreniz 0312@nKara bunu Facebook için 0312FB@nKara, Instagram için 0312IG@nKara, Gmail için 0312GM@nKara veya Twitter için 0312TW@nKara şeklinde kullanabilirsiniz. 

Yeri gelmişken; https://howsecureismypassword.net/ adresinden kullandığınız parolanın saldırganlar tarafından tahmin edilmesinin ne kadar süreceğini öğrenebilirsiniz (Yine de parolanızı buraya yazmamanızda fayda var). 

Yukarıdaki örneği ele alırsak 0312ankara aşağıda görüldüğü gibi 10 günde kırılabilirken, 0312@nKara parolasını tahmin etmek 58 yıl sürecektir. 58 yıl iyi bir rakam gibi görünse bile bu parolanın sonuna basit bir ünlem işareti eklemek parola tahmin etme süresini 4.000 yıla (yazı ile dört bin yıl) çıkartmaktadır.

Resim 3: Basit bir masaüstü bilgisayar ile 10 günde kırılabilen parola: 0312ankara

Resim 4: Parolayı 0312@nKara yapmak tahmin etme süresini 58 yıla çıkartıyor

Resim 5: Sonuna basit bir ünlem işareti ekleyerek parolayı 0312@nKara! yapmak tahmin etme süresini 4000 yıla uzatabilir.


4. Fazla bilgi vermeyin
Kayıt olurken sadece gerekli olan bilgileri doldurmakta fayda var. Bu sayede, güvenlik ihlali yaşanması durumunda hakkınızda mümkün olabildiğince az bilgi kamuya mal olur. 

5. Haberi duyduğunuzda parolanızı değiştirin
Üye olduğunuz siteyle ilgili bir güvenlik ihlali haberi duyduğunuzda parolanızı değiştirin. İdeal şartlarda, bu tür hacklenme haberlerini duymasanız bile, parolanızı yılda birkaç kez değiştirmenizde fayda var. 

6. Güçlü parola belirleyin
Bu konuda sayflarca yazı yazılabilir ama iyi bir parolanın temel özelliklerini ele alacak olursak şunları söyleyebiliriz;

  • Sadece harf veya sayıdan oluşmamalı
  • Eşinizin, tuttuğunuz takımın veya çocuklarınızın adını içermesin
  • Doğum tarihiniz gibi halka açık bilgiler içermesin
  • Sözlükte bulunan bir kelime olmasın. Buna yabancı kelimeler de dahil
  • Parolanızı kimseyle paylaşmayın. Evet, aklınıza şu anda kim geldiyse, o da dahil
Güvende olmanıza faydası olması dileğiyle. 



MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...