Friday, July 25, 2014

Siber Savaş Tarihinden bazı olaylar


1998 yılının mayıs ayında Endonezya'da başlayan Çin karşıtı gösterilere tepki olarak ortaya çıkan ve kendilerine “China Hacker Emergency Meeting Center” (Çin Hacker Acil Toplanma Merkezi) adını veren yaklaşık 3,000 hacker Endonezya hükümetine ait internet sitelerine saldırmıştır. Ertesi yıl, 7 Mayıs 1999 günü NATO'ya ait bir savaş uçağının yanlışlıkla Yugoslavya'nın Belgrad şehrinde bulunan Çin Büyükelçiliğini bombalamasının üzerinden 12 saat geçmeden A.B.D hükümetine ait yüzlerce site Çin kaynaklı yoğun saldırılara maruz kalmıştır. 2001 yılında Güney Çin Denizi üzerinde bir A.B.D. Savaş uçağıyla karpışmasının ardından yaklaşık 80,000 çinli hacker A.B.D. hükümetine saldırmıştır. New Times gazetesi bu olayı I. İnternet Savaşı (World Wide Web War I) olarak adlandırmıştır.  

2007 yılı siber savaş açısından önemli bir yıldır. Estonya ve Suriye'de yaşanan olaylar siber savaşın ulaşabileceği boyutları net bir şekilde ortaya koymaktadır.

Estonya Hükümetinin İkinci dünya savaşı sırasında hayatını Estonya'da kaybeden Rus askerleri için dikilen anıtın yerinin değiştirilmesi için aldığı karar sonrası ülkenin internet altyapısını felç eden DDoS saldırıları başlamıştır. Saldırılarla Rus Hükümeti arasında doğrudan bir bağlantının varlığına ilişkin bir kanıt olmasa da saldırıların Rus Hükümetinin emriyle gerçekleştirildiğine dair yorumlar yapılmıştır. Yoğun saldırı ile ülkede bankacılık işlemleri, devlete ait internet siteleri haber portalları gibi başlıca internet hizmetleri kullanılamaz hale gelmiştir.  Gelen yoğun DDoS (sistemleri çalışamaz hale getiren dağıtık yapıdaki saldırılar) bankaları yeterince sıkıntıya sokmazmış gibi kredi kartı veren kuruluşlar panik sonucu verdikleri kararla kendi sistemlerini kapatmıştır. Saldırıların çoğunun Rusya'dan geldiğinin tespit edilmesi üzerine Estonya yurt dışından gelen internet hatlarını kapatmış ama buna rağmen saldırılar birkaç hafta daha devam etmiştir.

Tallinn'deki Bronz Asker Anıtı

27 Nisan 2007 günü başlayan ve ciddi sıkıntılara yol açan saldırılar NATO bünyesine uzman bir birimin kurulmasına katkı sağlamıştır. NATO bünyesinde kurulan “mükemmeliyet merkezi” (Center of Excellence) tesadüfen Estonya'nın Tallinn kentinde ve olaylara yol açan Rus Askeri Anıtının eski yerine çok uzak olmayan bir yerde bulunmaktadır. Cooperative Cyber Defence Centre of Excellence adıyla anılan “İşbirlikçi Siber Savunma Mükemmeliyet Merkezi'nin” başlıca amaçları aşağıdadır;
  • NATO ağı olan NNEC içerisinde güvenlik düzeyine yükseltmek
  • savunmaya ilişkin doktrinleri ve konseptleri geliştirilmek ve yürürlüğe koymak
  • Bilgi güvenliği ve siber savunma konularında bilinç ve eğitim düzeyini arttırmak
  • Siber savunma tatbikatlarına destek vermek
  • Siber savunmanın hukuki çerçevesini oluşturmak

Estonya'da yaşanan bu olay siber uzayın Dünya'dan önemli bir noktada ayrıştığını göstermiştir. Dünya'da barış durumu ülkeler arasında savaş olmamasıdır, savaşlar ise ilan edilir ve ülkeler arasında yapılır. Estonya'ya yapılan saldırılar ise savaş tanımına uymamaktadır. Resmi açıklamaları dikkate alırsa olay “milliyetçi duyguları ağır basmış” sivillerin başka bir ülkeye saldırmasından ibarettir. Bir ülkenin halkı, kendi hükümetinden veya ordusundan bağımsız bir şekilde başka bir ülkeye savaş açmış. Estonya örneğinde bu olayın “savaş” olarak nitelenip nitelenmemesi önemlidir. Estonya NATO üyesi olduğundan savaşa girmesi A.B.D. Dahil pek çok ülkeyi ilgilendirebilecek bir durumdur.  Silahların, orduların, füzelerin, savaş uçaklarının yerini virüsler, kötücül yazılımlar ve dizüstü bilgisayarlar aldığı için savaşlar ne yazık ki devletlerin vereceği kararlar sonucunda değil, neredeyse canı isteyen herkes tarafından başlatılabilir.

Aynı yılın 6 Eylül gecesi, İsrail hava kuvvetlerine ait F15 ve F16'lardan oluşan bir grup savaş uçağı Suriye'nin kuzeyinde bulunan bir nükleer tesisi bombaladı. Bombalama olayının özünün sıradan olmasına karşılık ülkeyi neredeyse boydan boya geçen ve radarlardan kaçabilecek teknolojiye sahip olmayan bu uçakların Suriye radarları tarafından görülememiş olması ilginçtir. Milyarlarca dolar değerindeki son teknoloji ürünü radar sistemlerinin 1970'lerde tasarlanmış ve üretilmiş bu uçakları görmemiş olması imkansızdır. Operasyonun başarısını saldırıdan önce Suriye radar sistemine sızılmış olmasında yatmaktadır. Bu sayede İsrail Suriye radarlarına istediği görüntüyü yüklemiş ve böylece hava sahasında bulunan İsrail uçaklarını görememiştir. Radar sistemlerini etkisiz hale getirmek için kullanılabilecek çeşitli yöntemlerden bazılarına örnek vermek gerekirse:
  • Hedef hava sahasına radara yakalanmayacak kadar ufak bir insansız hava aracıyla sızıp radar sinyalini boğacak bir yayın yapılabilir.
  • Benzer bir insansız hava aracıyla radar sistemini ele geçirecek bir sinyal (takeover packet) gönderilebilir. 
  • Radar kumanda merkezlerindeki bilgisayarlara sızılıp radardan gelen verilerin yorumlanma şekli değiştirilebilir
  • Radarlardan radar komuta merkezine giden kablolara fiziksel olarak müdahale edilebilir.

Kullanılan yöntem her ne olursa olsun radar sistemlerinde tasarımlarından ve çalışma prensiplerinden kaynaklanan açıklar mevcuttur. Suriye'de yaşanan olaydan sonra Rus radar sistemlerinde bazı güncellemeler yapılmış ve bu güncellemeler İran gibi benzer sistemleri kullanan ülkelerde de devreye alınmıştır. Bu operasyonu daha önce bu yazımda da ele almıştım: http://www.alperbasaran.com/2013/03/bostan-operasyonu-israilin-suriyeyi.html

27 aralık 2008 yılında İsrail'in Gazze şeridinde başlattığı ve “dökme kurşun” olarak adlandırılan operasyona tepki olarak Müslüman ve Arap hackerlar sistematik saldırılar başlatmışlardır. Bu saldırılara maruz kalan İsrail web sitelerinin tam sayısı bilinmese de sadece Ocak ayının ilk haftasında etkilenen site sayısı 10,000'den fazladır. Tepki olarak yapılan saldırıların büyük kısmı siteleri değiştirme ve mesaj bırakma şeklindedir. “Defacement” olarak adlandırılan saldırılar 27 aralık 2008 ile 15 Şubat 2009 tarihleri arasında yapılan saldırılarda özellikle ses getirecek hedefler seçilmiştir. Bu kapsamda haber siteleri, siyasi partilere ait siteler, Savunma Bakanı ve Başbakan Yardımcısı Ehud Barak'ın sitesi de dahil olmak üzere pek çok siteye Gazze ile ilgili mesajlar ve görseller eklenmiştir.

Siber savaşın devletler dışındaki taraflarına örnek oluşturan Gazze'li hackerların yanında haberlerde sıkça adını duyduğumuz bazı oluşumlara da değinmekte fayda var.
Hacktivist olarak adlandırılan bu grupların başında kuşkusuz Anonymous geliyor. Hacktivist kelimesi ingilizce “hacker” ve “activist” (eylemci) kelimelerinden türetilmiştir. Hacktivistler belli bir amaca hizmet etmek veya belli bir mesaj vermek için siber suç işleyen kişi veya gruplardır. Hacktivistleri tanımlayan temel özellikler siyasi bir amaçlarının olması, asgari düzeyde suç işlemeye eğimli olmaları, eylemlerinin çoğunluğunu küçük gruplar halinde veya yalnız yapmaları ve eylemlerinde belli bir espri anlayışı olmasıdır. Eylemlerin türüne ve yoğunluğuna göre siber terorist olarak da adlandırabileceğimiz  hacktivistlerin bazı eylem biçimleri aşağıda verilmiştir:
  • Web sitelerinde içerik değiştirmeye yönelik yapılan saldırılar.
  • İnternet sitelerinde oturma eylemleri. Bu eylemlerde çok sayıda hacktivist siteye kullanıcı olarak girip kendileri dışındaki kullanıcıların hizmet almasını engeller.
  • Email bombaları ile hedefin e-postalarını hizmet veremez duruma getirilmesi.
  • Yasaklı sitelerin kopyalarını yayınlayarak yasaklı içeriklerin dağıtılması.

Siber savaş olarak adlandırılabilecek olayların meydana gelme biçimlerini incelersek 6 farklı siber savaş yöntemi olduğunu söyleyebiliriz.

1- E-propaganda
Elektronik ortamın propaganda aracı olarak yoğun biçimde kullanıldığı ilk savaş Bosna-Hersek'tir. Tarafların asıl amacı internet bağlantısını kısıtlamak değil propaganda yapmak olmuştur.

2- Yoğun DDoS Saldırıları
Estonya'da yaşanan olaya benzer bir olay 4 Temmuz 2009 yılında A.B.D.'de yaşanmıştır. Beyaz saraya ait internet sitesi, büyük ihtimalle Kuzey Kore kaynaklı bir DDoS saldırısı sonucu 3 gün kapalı kalmıştır.

3- Stratejik Siber Savaş
Saldırıların doğrudan bir ülkenin elektrik altyapısını, hava yolu trafiğini veya bir askeri kuvvetini hedef almasıdır. Bu hedeflere yapılacak bir saldırının elektronik ve fiziksel etkilerinin yanında diplomatik etkileri ve sonuçları da olacaktır. Savaşın siber ortamda başlaması orada yürütüleceği anlamına gelmez. Bu tür bir saldırıya pekala füze ile karşılık verilebilir.

4- Elektronik Sabotaj
Günümüzde sabotaj kavramı soğuk savaş dönemindekinden farklı bir hal almıştır. Elektronik sabotaj konusu yeni değildir. Soğuk savaş döneminde Amerikan mikroişlemci ve otomasyon teknolojisini çalmak isteyen Sovyetler Birliğine A.B.D. tarafından bilinçli olarak yanlış planlar sızdırılmıştır. Bunun sonucunda Sovyetler Birliğinin Sibirya'dan geçen doğalgaz boru hattında bir patlama yaşanmıştır. Yıllar sonra patlamanın gerçek nedeninin yanısıra Rus uzay mekiklerinin aslında NASA tarafından kullanılamaz kabul edildiği için rafa kaldırılan bir tasarımın ürünü olduğu anlaşılacaktı.
Günümüzde ise elektronik sabotaj konusunda Huawei ve ZTE gibi çinli üreticilerin telekom ve ağ ürünlerine kendi ulaşabilecekleri “arka kapılar” yerleştirdikleri iddiaları vardır. İddia sahibinin Pentagon'da çalışmış bir analist olması ve Çin'de devlet ile özel teşebbüs arasındaki ayrımın kesin olmaması nedeniyle Çin hükümetinin bu şirketlerde hisse sahibi olması iddiaları güçlendirmektedir.
Üreticiler bu iddiaları kabul etmemektedir.

5- Operasyonel Siber Savaş
İsrail'in Suriye'yi bombalaması operasyonel siber savaşlara güzel bir örnektir. Bu durumlar siber savaş yöntemlerinin gerçek saldırılara destek vermek için kullanılması olarak da özetlenebilir. 2008 yılında Gürcistan'a saldırmadan hemen önce Gürcistan iletişim altyapısının Ruslar tarafından çökertilmesi bundan böyle sıcak çatışmalara siber savaş unsurlarının da eşlik edeceğini kanıtlar niteliktedir.

6- Suçlu – Terörist İşbirliği

Siber uzayda operasyon yürütmek oldukça ucuzdur. Bir siber saldırı veya tam ölçekli bir siber savaş başlatmak için gerekli sistemler ucuza ve yaygın olarak satılmaktadır. Bugün egemen bir devletle bir avuç sıradan suçlu arasındaki siber savaş yetkinlik farkı sadece teknik uzmanlıktır. Teknik uzmanlık parayla satın alınabileceği gibi insanlara zorla veya onları kandırarak da iş yaptırmak mümkündür. Bu tür bir siber savaş tehdidinin ortaya çıkması ise saldırıya uğrayan tarafın karşılık veremeyeceği bir çatışmanın çıkmasına neden olacaktır.


Wednesday, July 2, 2014

Ayın fıkrası: Santralimiz Hacklenmez

İşim gereği son zamanlarda santral projeleri ve santral üreticiyle yakın çalışma fırsatım oldu. Bütün bu görüşmelerde santral üreticisinin “sistemimiz hacklenmeye karşı korumalıdır” sözü ile Kurum Bilgi İşlem yetkilisinin “biz bu işleri çok iyi bildiğimizden gerekli önlemleri zaten alıyoruz, bizi hackleyemezler” iddiaları arasında gülmemek için kendimi zor tutuyorum. Eğlenceli oluyor olmasına ama bir yandan da Ülkemin güvenlik konusunda daha ne kadar yol alması gerektiğini görmek beni üzüyor.  

Benim gibiler için telefon sistemlerine yönelik yapılan saldırıların bir de tarihi anlamı var. Bir çoğumuza ilham kaynağı olan Captain Crunch ve Kevin Mitnick gibi isimlerin ilk "ilgi alanlarının" telefon sistemleri olduğunu hatırlatmaya gerek bile yok. Steve Jobs ve Steve Wozniack'ın Apple'dan önce ücretsiz telefon görüşmeleri yapmayı sağlayan "Bluebox" kutuları üretip sattıklarını bilmek ise, benim için olaya neredeyse nostaljik bir boyut katıyor.


Resim 1: Bluebox (Kaynak: http://en.wikipedia.org/wiki/Blue_box)


İnternet üzerinden yapılan görüşmelerin güvenliği konusu çok dallı budaklı ve uzmanlık isteyen bir konu olduğu için bu yazıda ancak yüzeyin ufak bir kısmını kazıdığımı belirtmem lazım. VoIP güvenliği konusunda yol almak isteyenlerin yakın durması gereken bir isim, Dünya’da da bu konuda otorite olarak kabul gören Fatih Özavcı’ya (Twitter: fozavci) saygılarımı da ileterek konuya gireyim.

Herhangi bir kurumun VoIP altyapısına karşı yapılan saldırılara bakınca, çoğunda karşımıza aşağıdaki saldırı türleri çıkmaktadır.
Hizmet dışı bırakma saldırıları
İzinsiz dinleme
İzinsiz çağrı açma
Giden çağrıları yönlendirme
Uluslararası görüşme trafiğinin kurum santrali üzerinden geçirilmesi

Son kalemde sadece geçtiğimiz ay ve Ankara’da duyduğum örnekler 200.000 TL’den fazla bir maddi zarara yol açmıştır. Bu saldırı türünde görüşmeler fiilen santral üzerinden geçtiği için operatörün ilgili birimleri tarafından zamanında fark edilip “fraud” (dolandırıcılık) olarak belirlenmezse kurum bu ücreti ödemek zorunda kalacaktır.

Internet’teki diğer uygulamalara ve sunuculara karşı yapılan hizmet dışı bırakma saldırılarında olduğu gibi, yapması kolay, önlemesi zor saldırılardır. 2009 yılında Amerika Birleşik Devletleri’ndeki bir operatöre karşı yapılan saldırı şu meale gelecek sözlerle özetlenmiştir: “normal şartlarda 32 milyon çağrı aldığımız bir anda 69 milyon çağrı geldi, ne yapacağımızı bilemedik”.

Son zamanlarda daha sık görmeye başladığımız “mega DDoS” saldırılarının VoIP sistemlerinin aksamasına yol açtığını biliyoruz. Bazı olaylar basına yansısa bile genel kanı VoIP sistemlerine yöneltilen ve başarılı olan saldırıların sayısının tespit edilmesinin zor olduğu yönündedir. “Mega DDoS” saldırıları DNS ve benzeri, verdiği cevap aldığı paketin boyutundan büyük olan servislerin DDoS saldırısının boyutunu arttırmak için kullanıldığı saldırılardır. Bunu böyle kullananlar var mı bilmiyorum ama ileride Discovery Channel’da bir belgesel yapılsa ismi bu olurdu gibi geldi.

Hizmet dışı bırakma saldırılarını gerçekleştirmenin en kolay yolu hedef sisteme çok sayıda SIP INVITE paketi göndermektir. Bu arada 2009 yılında hedef sistemin tek bir paket (Invite of Death – Ölüm Paketi) gönderilerek de hizmet dışı bırakılabileceği de keşfedilmiştir. Eldeki bilgiler “Ölüm Daveti” (çok uygun bir isimmiş) zafiyetinin çok sınırlı sayıda sistemde görüldüğü yönündedir. “Mega DDoS” denilince aklımıza hemen çağrı merkezlerine veya operatörün omurgasına yönelik yapılan büyük saldırılar gelse de kurumları hedef alan saldırılar daha yaygın olarak görülmektedir. Hem az kaynak gerektirdiği için hem de kurumların çoğunda gerekli güvenlik önlemlerinin alınmamış olması saldırganların iştahını daha da kabartmaktadır.

VoIP altyapısına karşı yapılan saldırılar arasında şüphesiz en “artistik” olanı yapılan görüşmeleri dinlemektir. 2012 yılında ortaya çıkan bir zafiyetin telefon görüşmelerini değil, telefonun bulunduğu odada ortam dinlemesi yapmaya imkan vermesi başlı başına bir olay olmuştu zaten (ayrıntılar: http://events.ccc.de/congress/2012/Fahrplan/events/5400.en.html). Yapılan görüşmelerin dinlenmesi kullanılan şifreleme algoritmasının kırılması ile mümkün olmaktadır. Bunun yanında, KTH Kraliyet Teknoloji Enstitüsü araştırmacısı Vasily Prokopov yaptığı bir çalışmada şifreleme algoritmasını kırmakla uğraşmadan konuşmaların dinlenebildiğini göstermiştir. Hecelerin şifrelenmiş hallerini konuşmadaki seslerle karşılaştıran çalışma %50 ile %90 başarı oranıyla konuşmaların içeriğinin çözülebildiğini göstermiştir (ayrıntılar: http://www.kaspersky.com/images/Vasily%20Prokopov.pdf ).

“Herşey iyi güzel de, bunlar gerçek hayatta ne işimize yarayacak?” dediğinizi duyar gibiyim. Ya da demo yapmak için bahane uydurmak için bu girişi yaptım. Müşterilerimin bir kısmında da yaygın olarak kullanılan Asterisk santral ile basit bir yapı kuruyorum.
Bunun için, kolay kurulum için hazırlanmış AsteriskNOW yazılımı üzerine hazırlanmış ve güvenlik testleri konusunda pratik yapmak için yayınlanmış VulnVoIP sanal makinesini kullanıyorum. VulnVoIP’i bıradan indirabilirsiniz: http://www.rebootuser.com/?page_id=1739

Yazının kalanında Kali Linux üzerinde kurulu gelen bazı araçları kullanacağım ama bu konuda pratik yapacakların Fatih Özavcı’nın Viproy’unu mutlaka indirip kullanmaları gerekmektedir. http://www.viproy.com/

Kurduğum yapı kısaca şöyle:


Resim 2: Buna mı laboratuar diyorum?

Resim 3: VulnVoIP login ekranı

Resim 4: Kali Linux IP ayarları


Göreceğiniz gibi saldırgan olduğum için Asterisk santralin IP adresini henüz bilmiyorum. Asterisk santrali bulmak için kullanabileceğim çeşitli yöntemler arasında ShodanHQ, Google ve port taraması verilebilir. Uluslararası telefon trafiğimi bedava taşıyacak ve yüklü faturayı ödeyecek bir kurban arıyorum, bunu da başka bir ülkede aradığım için tespit edilme korkum yok. O nedenle port taraması ile hızlıca hedef tespiti yapıyorum.

Verdiğim IP aralığında 5060 ve 5061 numaralı portları olan açık makineleri tespit etmek için NMAP kullanacağım. Bunlar SIP protokolü tarafından kullanılan portlar olduğu için bu portlardan hizmet veren makinenin SIP sunucusu olduğunu ve benim için hedef olabileceğini düşünüyorum.
Resim 5: Nmap ile SIP sunucusu aramak


 SIP hedeflerini tespit etmek için SVMAP aracını da kullanabilirim. Bu araç vereceğim IP aralığındaki SIP hizmeti veren makineleri buluyor. Göreceğiniz gibi NMAP’in “port kapalı” dediği makine hakkında ilginç bilgiler toparladı.

Resim 6: SVMAP kullanımı


Resim 7: SVMAP tarama çıktısı


Metasploit’un içerisinde de SIP sunucuları tespit etmemizi sağlayan bir araç var.


Resim 8: Metasploit ile SIP tarama


Resim 9: Metasploit Asterisk'i buldu

Bazı saldırıları gerçekleştirmek için santralin dahili numaralandırma sistemini ve kullanılan dahili numaralara ihtiyacım olabilir. Bunun için numaraları tek tek çevirmek yerine kullanabileceğim araçlar var. Bunlardan bir tanesi SVWAR, benim yerime numaralara INVITE gönderip aldığı cevapları raporluyor. Bu aracın verdiği uyarı “karşı tarafta telefon çalmasına ve insanların gecenin köründe uyanmasına neden olabilirsiniz”...

Resim 10: SVWAR ile dahili numara tespiti

Karşımdaki sistemin tam olarak ne olduğunu anlamak için NMAP ile daha kapsamlı bir port taraması yapıyorum.
NMAP’e fazladan parametre vermeden yaptığım tarama aşağıdaki sonucu veriyor


 Resim 11: NMAP taraması olmadan olmaz

NMAP taramasını bütün portları kapsayacak şekilde genişlettiğimde ise manzara biraz değişiyor

Resim 12: Sürprizlerle dolusun NMAP (ipucu: Port 5038)

Google araması Asterisk sistemlerde 5038 numaralı portun telnet ile ulaşılabilecek bir konfigürasyon arayüzü olduğunu ortaya çıkartıyor.

Aşağıda görüldüğü üzere bu senaryoda Asterisk santrali kuran fabrika çıkışlı kullanıcı adını ve parolasını değiştirmediği için bunlarla sisteme erişebiliyorum.

Resim 13: Telnet ile Asterisk'e erişmek

Resim 14: Telnet ile Asterisk kullanıcıları ve parola bilgilerini çekmek

Şimdi de daha alışık olduğumuz saldırı araçlarından olan Metasploit’u kullanarak komut satırı elde etmeye çalışalım.

Metasploit’un bildiği FreePBX istismarlarını arıyorum.
Resim 15: Metasploit'ta bulunan Asterisk istismarı

Bulduğu istismarı deneyelim

 Resim 16: İstismar parametrelerini ayarlıyorum

 Resim 17: Komut satırı geliyor


Resim 18: Asterisk komut satırı ve IP adresi

Resim 19: Bir amerikan atasözü der ki: "Root is a state of mind"


Bu saldırıların ve zafiyetlerin çoğu gerçekte kullanılan sistemlerde karşımıza çıkmatadır. Bu tür saldırıların önüne geçmek için alınabilecek en temel önlemler şunlardır:

  • Santral üzerinde bulunan ek özellikler ek protokolleri beraberinde getirebilir. Kurum tarafından kullanılmayan özelliklere ilişkin portların kapatıldığından emin olun. 
  • Bilgisayar sistemleri gibi internete değen herşeye saldırılabileceğini unutmayın.
  • VoIP altyapınızı ve ağınızı bilgisayar ağınızdan mutlaka ayırın
  • Mevcutta kullandığınız güvenlik çözümlerinin IP santralinizi de koruduğundan emin olun