Sunday, November 9, 2014

Siber Saldırganı Tanımak

Bilgi güvenliği konusunda proaktif bir yaklaşım oluşturabilmek için düşmanı doğru tanımak çok önemlidir. Zafiyet yönetimi programı oluşturmanın ötesinde sızma testi yaptırmamızın da nedenlerinden birisi de düşmanı anlamaya çalışmaktır.

Resim 1: Şapka renklerine göre hackerlar

Verdiğim eğitimlerde hacker ve şapka meselesi ister istemez gündeme geliyor. Aşağıdaki slayttan anlayabileceğiniz üzere şapka rengine göre yapılan ayrıma inanmıyorum.

Resim 2: Şapkalardan başlayan sınıflandırma genişletilebilir

 Klasik doktrin, daha doğrusu bizim romantikleştirdiğimiz hacker ayrımı aşağıdaki gibidir;

Beyaz şapkalı hacker: Bilgi güvenliği alanında çalışan Hacker. Bildiklerini kurumsal ağları daha güvenli hale getirmek için kullanıyor.
Siyah şapkalı hacker: Suçlu. Kötü niyetli hacker.
Gri şapkalı hacker: Duruma göre iyi veya kötü olan hacker.

İlk bakışta yeterli bir ayrım gibi görülebilir ancak benim gibi bilgi güvenliğini yönetmesi gereken tarafta iseniz bu ayrım sizin için de bir anlam ifade etmez. Kendinizi kimden korumanız gerektiğini bilmeden etkili bir savunma yapısı kurmanız mümkün değildir.

Proaktif güvenlik yaklaşımı çerçevesinde düşmanı profillemek ona hollywoodvari isimler takmaktan daha mantıklı olacaktır. Şapka rengine göre yapılan ayrım kız arkadaşını etkilemek için kurum sayfasını değiştiren çocukla, iyi korunan bir ağa sızıp, 6 – 7 ay farkedilmeden veri sızdırabilen kalabalık bir suç örgütü aynı sınıfa koyacaktır. İlki basit önlemlerle bertaraf edilebilecek bir olayken diğerini engellemek ve farketmek çok daha farklı bir yaklaşım gerektirir.

Bu nedenle saldırganları uzmanlık, motivasyon ve kullanılan saldırı vektörüne göre sınıflandırmak daha anlamlıdır.

Uzmanlık seviyesi
Saldırganlarda 4 temel uzmanlık seviyesi gözlemliyoruz.

Sıfır seviyesi: Sıradan kullanıcılar. Saldırganlar için ihtiyaç halinde mail ekini açacak, kurum ağına ilk giriş noktası olabilir. Bunlar işten ayrılmadan önce hassas müşteri veya üretim bilgilerini bir USB belleğe kopyalayan çalışanlar da olabilir.

Başlangıç seviyesi: Çok bilinen zafiyetleri istismar ederek saldıran ve bazı “Bilgi Güvenliği Uzmanlarının” Lamer diyerek aşaladığını düşündüğü saldırgan profilidir. Etkili DoS/DDoS (hizmet dışı bırakma/dağıtık hizmet dışı bırakma) saldırılarından web sayfanıza istemediğiniz bir mesaj konulmasına kadar gürültülü ama etkili olabilecek saldırılar düzenleyebilirler, aşağılanacak bir yanları yok. 

Orta seviye: Belli bir bilgi ve beceri seviyesine sahip saldırganlardır. Belirli zafiyetler için istismar kodu geliştirebilirler. Hizmetlerini yer altı forumlarında kiralayabilirler veya siyasi ve dini inançları doğrultusunda eylemler gerçekleştirebilirler.

Uzman seviyesi: Üst düzeyde bilgi ve beceriye sahip saldırganlardır. Tersine mühendislik, sıfır gün açığı tespiti ve yeni istismar kodları geliştirebilirler. Daha önce kısaca değindiğim APT 28 grubu buna iyi bir örnektir, APT 28 grubu ile ilgili yazıma http://www.alperbasaran.com/2014/10/apt-ve-olum-zinciri.html adresinden ulaşabilirsiniz.

Nasıl bir saldırganla karşı karşıya olduğumuzu veya olabileceğimizi anlamak amacıyla saldırının ne kadar karmaşık olduğuna bakabiliriz. Uzman seviyesinde bir saldırgan tarafından gerçekleştirilen saldırının izlerinin giriş seviyesi bir saldırganınkinden çok farklı olacağı açıktır.

Bu uzmanlık seviyelerinin yanında saldırganın amacı ve bulabileceği saldırı vektörü bize neye karşı önlem almamız gerektiği konusunda önemli bilgiler verir. Yukarıda gördüklerimiz doğrultusunda basit bir örnek ele alırsak:

Saldırgan seviyesi: Sıfır
Amaç: Çalıştığı/ayrılmak üzere olduğu şirkete zarar vermek veya kendi işini kurmak/rakibe geçmek için ihtiyacı olan müşteri portföyü ve ürün/maliyet bilgilerini almak.
Saldırı vektörü: USB bellek ve eposta
Saldırının etkisi: Önemli şirket bilgilerinin çalınması
Alınabilecek önlemler: “Bilgilerimiz neler? Kimdeler? ve Neredeler?” sorularının cevaplanacağı bir kurumsal sürecin oluşturulması ve bu çalışma sonucunda gerek olursa bir DLP (Data Loss Prevention) çözümü alınması (DLP’nin tam olarak neleri adreslediğini anlatan iyi hazırlanmış bir videoya http://www.symantec.com/products-solutions/products/videos-lightbox.jsp?cid=dlp_product_overview adresinden ulaşabilirsiniz).

Saldırgan seviyesi: Başlangıç
Amaç: Siyasi mesaj vermek
Saldırı vektörü: Web sunucusu
Saldırının etkisi: Kurumun itibar kaybetmesi
Alınabilecek önlemler: Web sunucusu zafiyet taraması, biz sıkılaştırma ve zafiyet yönetimi planını hayata geçirmek.

Saldırgan seviyesi: Sıfır
Amaç: Web sayfasının devre dışı bırakılıp gelir ve itibar kaybı yaşanması
Saldırı vektörü: Forumlardan DDoS hizmeti kiralanması
Saldırının etkisi: Kurumun itibar ve, varsa, gelir kaybetmesi
Alınabilecek önlemler: Mevcut sistemlerin kaldırabileceği trafik seviyesinin belirlenmesi için gerekli testlerin yapılması, gerek olursa (sistemin devre dışı kalması için gerekli DDoS saldırısının yapılması saldırgan açısından ekonomik veya yeterli olacaksa) bir DDoS çözümü alınması.

Saldırganların kim olabileceğini anlamak bilgi güvenliği yatırımlarımızı en doğru ve en etkili olacak yerlere yapabilmemiz için çok önemlidir.
Basit bir örnek vermek gerekirse, aşağıdaki ekran görüntüsü kendini “the Mato” olarak tanımlayan ve bir kamu kurumu sitesini “sevdiği” uğruna hacklediğini iddia eden bir saldırganın eseridir.

Resim 3: Sevdiceği uğruna kamu kurumu hackleyen "The Mato"

Öte yandan 2008 yılında yayınlanan bir rapor Rusya’nın diğer ülkelere karşı kullandığı “siber ordusu” hakkında aşağıdaki rakamları vermişti;

Yıllık bütçe: 127 milyon A.B.D. doları
Tam zamanlı personel sayısı: 7.300’den fazla
Yedek ve milis: Yok
Kontrol edilen geniş bant internet bağlantısı: 24 milyona yakın (dünyanın en büyük Botnet’lerinden birisi)

Saldırının kaynağından çok saldırgan profiline odaklanmamızın nedeni saldırı kaynaklarının yanıltıcı olabilmesidir. Aşağıdaki ekran görüntüsünü, 1 dakikadan az bir sürede ve evimdeki çalışma ofisimden hazırladım. http://www.iplocation.net/ Kaynak IP’nin geldiği ülkeyi gösteren ücretsiz bir web sayfasıdır Görebileceğiniz gibi dünyanın herhangi bir noktasından saldırı başlatmam mümkündür, daha doğrusu saldırıyı istediğim ülkeden geliyormuş gibi göstermem mümkündür.

Resim 4: Oturduğum yerden sanal ortamda dünya turu 

Anlaşıldığı gibi, saldırgan profilimiz “the Mato” seviyesindeyse KGB’nin 16. Birimi olan Rusya’nın gelişmiş siber ordusuna yönelik bir savunma hattı oluşturmamıza gerek olmayacaktır. Öte yandan stratejik öneme sahip bir kurum olarak bizi sadece başlangıç seviyesi saldırganların hedef aldığını ve siber ordusuna yılda 76 milyon A.B.D. doları harcayan ve bu konuda çalışan 2.500’e yakın personeli olan İran’nın bizimle “ilgilenmediğini” düşünmek saflık olur.

Görüldüğü gibi proaktif güvenlik yapısının kurulması “siyah şapkalara karşı beyaz şapkalılar” kadar basit bir denkleme bağlı değildir. Bu nedenle, korumaya çalıştığımız veriyi ve buna bağlı iş süreçlerinin anlaşılması ile başlayan bir çalışmanın doğru bir saldırgan profilleme çalışması ile devam etmesi önemlidir.
Bilgi güvenliği konusunda barındırdığımız riskleri anlamak için basit bir çalışma aşağıdaki soruların yanıtlarının bulunması ile başlayabilir.
Her zaman olduğu gibi, bir kamu veya askeri kurumda çalışıyorsanız bu çalışmayı birlikte yapabiliriz, bana ulaşmanız yeterlidir.

Tehditler ve düşmanlar kimdir?
Saldırganlar tarafından kullanılan ve kullanılabilecek araçlar nelerdir?
Saldırganların amaçları ne olabilir?
Yapılabilecek saldırıların etkileri nelerdir?
En açık saldırı vektörleri hangileridir?

Saldırganı doğru profillemek bize sadece kendimizi savunma konusunda önemli bilgiler vermekle kalmıyor, aynı zamanda olası bir saldırıyı daha hızlı tespit etmemizi sağlıyor. Kurumsal ağımıza birinin sızıp sızmadığını anlamaya çalışırken ve sızma durumunda gerekli uyarıları üretecek bir yapı kurarken neleri dikkate alacağımızı bilmemiz önemlidir.

Aşağıdaki çizimde görüldüğü gibi saldırganın bilgi seviyesi, amacı ve ulaşabileceği saldırı vektörleri saldırı türünü belirler ve sonuç olarak saldırının bırakacağı izlerin neler olduğuna büyük etkisi olur.

Resim 5: Saldırgan seviyesinin saldırı izlerine etkisi

 Görüldüğü gibi, saldırganı doğru profillemek ve saldırı vektörlerini doğru anlamak hem saldırıyı engellememize yardımcı olur, hem de saldırıyı tespit etmek için nerelere ve hangi loglara bakmamız gerektiğini belirler. 




1 comment:

  1. Bu etkileyici bir makale. Bugün, internetteki insanlar gizliliklerinden endişe duyuyorlar. Bloglar, forumlar, birinin web sitesine saldırdığı veya birinin şantaj yaptığı sorularla doldurulur. Makaleniz okunmaya değer. İşte bir araç, IP görünümü ile ilgili önermek istiyorum
    https://iplocation.io/
    bu aracın yalnızca IP'yi bulmak için değil, aynı zamanda sonuçlarını Google haritalarında göstermek için dört coğrafi konum veritabanı vardır.

    ReplyDelete

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...