Bilgi güvenliği konusu açıldığında karşımıza
çıkan 3 temel terim zafiyet, tehdit ve Saldırıdır.
Terimleri anlamanın güvenlik konusunda
atılacak adımların daha doğru planlanmasına faydalı olacağına inandığım için
kısaca toparlamak istedim.
Zafiyet: Ağ veya ağa bağlı cihaz üzerinde
bulunan bir güvenlik zafiyeti. Sunucular, ağ geçitleri ve hatta güvenlik
cihazlarında bile zafiyet bulunabilir.
Tehdit: Mevcut zafiyetin istismar edilmesi
(saldırgan tarafından kullanılması) halinde gerçekleşebilecek risktir. İlk akla
gelenler sistemin hizmet veremez hale gelmesi veya izinsiz kişilerin sistem
üzerindeki verilere ulaşmasıdır.
Saldırı: Ağ veya ağa bağlı sistemlere zarar
vermek amacıyla yapılan eylemdir.
Zafiyetler
Herhangi bir ağ üzerinde güvenlik politikası,
teknoloji veya kurulum/konfigürasyon eksikliklerinden kaynaklanan 3 temel
zafiyet türü bulunabilir.
Güvenlik Politikası Zafiyetleri
Kağıt üzerinde görmeye alışık olduğumuz
“güvenlik politikası” bizim için gerçekte nasıl bir zafiyet olabileceği ilk
bakışta net olmayabilir. Güvenlik politikasının olmaması ağa bağlı sistemlere
izinsiz yazılım yüklenmesi gibi pek çok önemli güvenlik açığına neden olabilir.
Benzer şekilde felaket kurtarma veya olağanüstü durum planlarının belli
olmaması güvenlik ihlali veya felaket durumunda yanlış veya eksik davranışlara
neden olarak durumun daha da kötüleşmesine neden olabilir.
Teknoloji Zafiyetleri
Ağ üzerinde teknolojik zafiyet bulunabilecek
sistemleri 3 ana gruba ayırabiliriz bunlar protokol, işletim sistemi ve
cihazlardır.
HTTP, FTP veya DNS gibi iletişim protokolleri
ve ağ üzerinden hizmet veren yapılar kendi içlerinde zafiyetler
barındırmaktadır. Saldırganlar bunları hedef alarak ağ üzerindeki iletişimi
aksatabilir, veri alışverişini dinleyebilir/değiştirebilir veya kurumsal ağ
kaynaklarını başka hedeflere saldırmak için kullanabilir.
Windows, MAC ve Linux/UNIX gibi işletim
sistemlerinin bilinen pek çok zafiyetleri vardır. Saldırganlar bu zafiyetleri
sistemleri hizmet dışı bırakmak veya tamamen ele geçirmek için
kullanabilmektedir.
Cihazların arayüzlerinin istismar edilebilir
zafiyetler barındırması veya ağ üzerinde aktif olarak çalışan cihazların
fabrika çıkışı kullanıcı adı/parola bilgilerinin değiştirilmemesi bunları
saldırganlar için önemli hedefler haline getirmektedir.
Kurulum/konfigürasyon Zafiyetleri
Ağ ve sistem yöneticilerine en çok görevin
düştüğü zafiyetler bu başlık altında toplanabilir. Kullanıcı hesaplarının
güvenliğinin sağlanması çok önemlidir. Güçlü parola kullanımı için kurallar
belirlenmeli ve kullanıcıların bu kurallara uyduğundan emin olunmalıdır. Ağ ve
ağa bağlı sistemler üzerinde çalışmasına izin verilen uygulamaların
belirlenmesi çok önemlidir. Bu konu açılmışken; bu sene Mart ayında bulaştığı
ağ üzerinden topladığı önemli bilgileri kendi açtığı bir Twitter üzerinden
paylaşan bir zararlı yazılım tespit edildi. Günde 100.000 adetten fazla Tweet
atan zararlı yazılım, bulaştığı bir perakende zinciri ağı üzerinde bulduğu
kredi kartı bilgilerini bu sayede dışarıya göndermişti. Geçtiğimiz ay ise bir
grup saldırgan sızdıkları ağdan topladıkları verileri Youtube’a video yükler
gibi .mp4 uzantılı dosyalar içerisine saklayıp kurumun güvenlik önlemlerini
atlatmayı başardı.
Tehditler
Saldırgan profiline biraz daha detaylı ele
aldığım bir yazıma http://www.alperbasaran.com/2014/11/siber-saldrgan-tanmak.html
adresinden ulaşabilirsiniz. Burada basitçe iç ve dış tehdit profillerine
değineceğim.
İç Tehdit
Kurumsal ağa ve sistemlere erişim
yetkisi olan kişi veya sistemlerin yaptığı saldırılardır. Bu tehdit grubu
sadece personelle sınırlı değildir. Sosyal mühendislik saldırısı sonucunda ele
geçirilen bir çalışan laptopu saldırganların bir uzantısı olarak, personelin
kötü niyeti sonucunda olmasa bile, iç tehdit olarak karşımıza çıkacaktır.
Dış Tehdit
Saldırganların dışarıdan kurumsal
ağa ve bağlı sistemlere izinsiz erişim sağlamalarıdır.
Saldırılar
Saldırı konusu, değil blog, başlı başına kitap
olabilecek bir konudur, o nedenle sadece yaygın olarak görülen bazı saldırıları
ele alabileceğim.
DoS Saldırıları
“Denial of Service” (Hizmet
Dışı Bırakma) saldırıları hala yaygın olarak görülmektedir. Çeşitli güvenlik
firmaları tarafından geçtiğimiz ay yayınlanan raporların ortak noktalarından
birisi de hizmet dışı bırakma saldırılarının sayısında ve etkisinde görülen
artıştır. Özellikle 10 Gbps ve üzerinde görülen DDoS (Dağıtık Hizmet Dışı
Bırakma) saldırı sayısı, bir önceki 3 aylık döneme göre, %38 oranında
artmıştır. Saldırıların önemli bir bölümü ise basit bant genişliği sömürüsünün
ötesinde SYN Flood gibi daha “akıllı” saldırılardan oluşmaktadır.
Bant genişliğini tüketmenin dışında
kullanıcıların hedef alınan sisteme erişmesini engellemek için saldırganların kullandığı DoS
saldırılarının temel adımları ise aşağıdakilerdir:
Hedef sistem üzerinde çalışan
hizmetleri ve uygulamaları tanımak
Bu uygulamaların kaynaklarını
sömürmeye yönelik bir zafiyetten faydalanan bir aracın bulunması
Uygulamaya karşı saldırının
başlatılması
Sızmalar
Saldırganların ağa ve ağa bağlı
sistemlere sızarak veri çalmaları veya değiştirmelerini kapsayan bu saldırılar
aşağıdaki ana hatlar üzerinden gerçekleştirilmektedir
DNS veya web sunucusu gibi
internet üzerinden erişilebilen bir sistemin bulunması
Çeşitli yöntemler kullanılarak
sistem üzerinde oturum açmak veya başka bir uygulama çalıştırmak
Ele geçirilen sistemin iç ağa ve
iç ağa bağlı sistemlere erişmek için kullanılması
Arka Kapı
Saldırganlar tarafından hedef
sisteme tam veya kısmı erişim kazanmanın ve bu sistemlerin yönetimini ele
geçirmek için kullanılabilecek en basit yöntem arka kapı açılmasıdır. Yaygın
olarak görülen 3 arka kapı türü Truva atları, arka kapı yazılımları (PHP Shell,
vb.) ve duruma özel yazılmış kodlardır.
Kırmalar
Saldırganlar sisteme erişim yetkisi
kazanmak veya hedef sistem üzerinde istedikleri kodu çalıştırmak için kaba
kuvvet saldırıları düzenlerler. Bu saldırıların en basit örneği kullanıcı
adı/parola tahmini için peşpeşe çok sayıda olasılığın denenmesidir.
Phishing
Hedef kurum personelini kandırmaya
yönelik hazırlanmış eposta mesajlarının gönderilmesidir. İyi hazırlanmış bir
oltalama (phishing) epostasını engelleyebilecek güvenlik önlemi sayısı çok
azdır, bunun ötesinde kullanıcının bu maillerde kurulan senaryoya kanmasını
engellemek ise neredeyse tamamen imkansızdır.