Tuesday, March 31, 2015

Elektrik kesintisi ve PLC güvenliği

Çocukken “elektrikler kesikti çalışamadım hocam” derdik, bugün yaşanan geniş çaplı kesinti sırasında ise “siber saldırı var hocam” sözünü çokça duyduk. Bugün yaşanan elektrik kesintisinin bir siber saldırı olduğunu ima etmiyorum, sadece bugün popüler olan bir konuyu ele almak istedim.


PLC, ICS ve SCADA nedir ve neden önemlidir?
Özünde aynı şey, üretim hattı veya makineleri yönetmek için kullanılan sistemlerdir. Protokol ve/veya üretici farkı olsa da temelde programlanabilir bir mikroişlemci sayesinde fabrika veya üretim otomasyonu yapmamızı sağlarlar.
Terimlere kısaca bakacak olursak;
PLC: İngilizce “Programmable Logic Controller” yani programlanabilir mantıksal denetleyici kelimelerinin baş harflerinden oluşmaktadır.
ICS: İngilizce “Industrial Control Systems” yani endüstriyel kontrol sistemleri kelimelerinin baş harflerinden oluşmaktadır.
SCADA: İngilizce “Supervisory Control and Data Acquisition” yani Kapsamlı ve entegre bir Veri Tabanlı Kontrol ve Gözetleme Sistemi kelimelerinin baş harflerinden oluşmaktadır.
Hedefe özel yazılmış zararlı yazılımların megastarı olarak adlandırabileceğimiz STUXNET’in ortaya çıkmasıyla bu sistemlerin siber saldırıların hedefi olabileceği gerçeği geniş kitlelerin dikkatini çekti.
Otomasyon sistemlerinin hedef alındığı saldırılar aslında yeni değildir ve ilk örnekleri soğuk savaş yıllarında görülmüştür. Soğuk savaşın en yaygın olarak anlatılan siber saldırı hikayelerinden birisi (CIA tarafından resmi olarak teyit edilen bir olay olmadığı için bu aşamada “hikaye” demek zorundayız) de 1982 yılında Sibirya Boru Hattında yaşanan patlamaydı. Rusya’nın en önemli boru hattı projelerinden birinin sonuna yaklaşan dönemin Sovyet yönetimi bu boru hattını yönetecek bir yazılıma sahip olmadıklarını farkedince bu eksikliklerini A.B.D’nin elindeki yazılımlardan birini çalarak gidermeye karar verir. Fransız istihbarat örgütünün uyarısı üzerine CIA Rusların çalmaya çalıştığı koda bir hata ekleyecek 1982 yılının Temmuz ayında boru hattında bir patlamaya neden olurlar.
SSCB Tarafından patlamaya konu Sibirya Boru Hattı anısına basılmış bir pul. 

“Gerçek dünya” olarak adlandırabileceğimiz fiziksel boyutta herhangi bir şeyi kontrol eden herhangi bir yazılımı ele geçirebilmek, şüphesiz hepimizin hayal gücünü devreye sokar. Trafik ışıklarını kendi geçişimize göre yönetebilmek, asansörün her zaman bizi katta beklemesi, köprüden ücretsiz geçmek, emniyet şeridini kontrol eden kameraların bize ceza yazmaması, mağaza alarmını devre dışı bırakmak, gibi yüzlerce senaryo aklımıza gelir. Bunların bir uzantısı olarak da, belki de filmlerde görmeye alışkın olduğumuz ve dünyayı yok etmeye çalışan “deli profesörler” gibi bir nükleer tesisi patlatmak veya bir ülkenin elektriklerini tamamen kesmek gibi daha “fantastik” senaryolar aklımıza gelebilir.
Bütün ülkenin elektriğini kesmek?
Bugün yaşanan geniş çaplı elektrik kesintileri siber odaklı geniş çaplı komplo teorilerine neden oldu. Bu konulara bulaşmış birisi olarak gerçek durumumuz hakkında biraz araştırma yapma ihtiyacı duydum.
PLC’ler nasıl bulunur?
İnternete bağlı PLC sistemleri bulmak için kullanılabilecek onlarca farklı yöntem vardır, bunlardan bazıları;
  1. Arama motorlarının kullanımı
  2. ERIPP veya scan.io projelerinin sonuçlarından faydalanmak
  3. Port taraması yapmak
Port taraması yapmak kaynak ve saldırgan IP’lerin hedef sistemler tarafından tespit edilmesi gibi belli ölçüde risk almayı gerektirdiği için ilk tercih edilen yöntem olmayacaktır. Bunun yerine arama motorları her ne kadar daha sınırlı sonuçlar verse de ilk aşamada daha hızlı bir yaklaşım olacaktır.
Aşağıdaki bir kaç örnekte Google aramaları ile bulduğum internete açık bazı PLC sistemlerini görüyorsunuz.

Yukarıda: SIMATIC PLC'leri tespit etmek için kullanılabilecek bir Google arama sorgusu

Yukarıda: Bulunan SIEMENS SIMATIC PLC'lerden birinin arayüzü

Yukarıda: Başka bir PLC arayüzü


Yukarıda: Rüzgar enerjisinden elektrik üreten bir istasyonun günlük enerji üretim değerleri tablosu. Google araması ile bulundu.


Yukarıda: Yaygın olarak kullanılan ROCKWELL marka bir PLC'nin internete açık arayüzü

Yukarıda: Başka bir PLC'nin ağ bağlantıları tablosu

Google aramaları dışında ShodanHQ gibi internete bağlı belli cihazları endeksleyen arama motorlarının da saldırganlar tarafından hedef bulmak için kullanıldığını biliyoruz.
Aşağıda bazı ShodanHQ arama sonuçlarını görebilirsiniz. Aramaları Türkiye ile sınırlandırıp belli başlı PLC üretici isimlerini kullanarak yaptım ve ilk çıkan sonuçların ekran görüntülerini aldım. Daha detaylı aramalarla sonuç sayısı artacaktır.








Gerçek durum nedir? 
2008 yıllarının ortasında başlayan ve internete bağlı PLC sistemleri endeksleyen SHINE (SHodan INtelligence Extraction) projesi 2013 yılının sonuda 1,000,000’dan fazla PLC’nin internete bağlı olduğunu ve her gün yüzlerce yenisinin eklendiğini açıklamıştı 2014 yılının sonlarında yayınladığı rakam ise 2,100,000’i geçmişti.
Amerika Birleşik Devletleri, Almanya ve Çin gibi sanayisi gelişmiş ülkelerden oluşan ülkeler dünya genelinde internete bağlı PLC sistemlerinin 1,800,000’den fazlasını barındırıyor. A.B.D. ile Almanya’nın toplamı dünya genelinde internete bağlı PLC sistemlerin %49’unu barındırıyor.
2014 yılının son aylarında Türkiye’de internete bağlı 16,348 PLC sistem tespit edilmiş. PLC’lerin internete bağlı olmasının oluşturduğu en önemli problemlerden biri şüphesiz yüksek güvenlik riskleridir. PLC’lerin temellerinin atıldığı yıllarda siber güvenlik konusu ne yazık ki çok gündemde değildi. Hatta bugün de internetin temelinde yatan pek çok “güvenilmez” uygulama o yılların naif mimari yaklaşımlarından kaynaklanmaktadır.
Günümüzde kullanılan pek çok PLC yalıtılmış iç ağlarda çalışacakları varsayılarak tasarlandığı için güvenlik özellikleri genelde ikinci plana itilmiştir.
PLC Güvenliği için neler yapılabilir?
İnternete bağlı otomasyon sistemlerinin güvenliğinin sağlanabilmesi için atılabilecek en önemli adım üreticilerin bu konuda harekete geçmesi olacaktır. O gün gelene kadar ise, her konuda olduğu gibi, güvenliği sağlama sorumluluğu biz kullanıcılar üzerindedir.
1. Sistemlerin mevcut durumunu anlayın
PLC sistemleriniz üzerinde yaptıracağınız güvenlik testleri size sistemlerinizin mevcut güvenlik seviyesi hakkında somut bilgiler verecektir. PLC sistemlerinin güvenliğini sağlamak için bütçe ayırmak ilk bakışta mantıklı gelse de kapsamlı güvenlik testleri ve risk analizlerinin sonucunda belki de bu sistemlere para harcamaya gerek olmadığı ortaya çıkacaktır. Durumu anladıktan sonra harekete geçmek daha doğru olacaktır.
2. Dokümantasyon
Evet, sıkıcı konular. Herşeye prosedür yaz, prosedürleri uygula, güncelle, vs. Ama neyin nasıl yapılması gerektiğini ortaya koymadan ve buna uymadan PLC gibi kritik sistemler üzerinde yapılacak her işlem (en basit güncellemeden sistem mimarisi değişikliklerine kadar) yeni zafiyetlerin ortaya çıkmasına neden olabilir.
3. Eğitim
Sistemleri idare eden personelin PLC konusunda eğitim alması sistemlerin daha güvenli ve verimli çalışmasını sağlar. Eğitimler sırasında PLC güvenliği konularına da değinmek önemlidir.
4. Subnetleri unutmayın
Bilgisayar ağlarında yaptığımız gibi PLC ağlarını da birbirinden bağımsız altağlara ayırmak güvenlik açısından fayda sağlar.
5. Erişimi denetleyin
PLC’lere kimin hangi şartlarda ve hangi işlemleri yapmak için erişebildiğinin belli olması şarttır. Bu erişimlerin ve yapılan işlemlerin kayıt altına alınması hem operatör hatalarını azaltabilecek bir çalışmanın temelini oluşturur hem de yetkisiz müdahalelerin kısa zamanda tespit edilmesini sağlar.
6. Sistemleri yalıtın
Kimsenin sistemleri dışarıdan yönetmesi gerekmiyorsa PLC'nin internetle bağlantısı olmadığından emin olun. Bu bağlantının bir şekilde (yanlış kablolama, altağ değişikliği, vb.) yanlışlıkla sağlanmadığından emin olmak için düzenli olarak kontrol edin.
7. Sistemleri izleyin
PLC üzerindeki işlemleri takip edip yetkisiz veya olmaması gereken işlemlerin tespit edilmesini sağlayacak bir yapının mutlaka kurulması gerekmektedir.
PLC güvenliği konusunda da, tıpkı ağ güvenliğinde olduğu gibi, 5 yıl öncesinin “saldırganın içeri girmesini engelleyelim” yerine “saldırganlar eninde sonunda sızacak bunu mümkün olduğunca hızlı tespit edip etkisiz hale getirelim” yaklaşımı günümüz tehditlerine karşı daha uygun bir yaklaşımdır. Güvenliği “sağlanan” bir şey olmadığını ve sürekli izlenmesi gerektiğini hatırlamakta ve bunun özellikle, PLC’ler gibi fiziksel etkileri olabilecek sistemler için, daha da önemli olduğunu bilmekte fayda var.

Saturday, March 21, 2015

Laptopumu kaybettim hükümsüzdür


“Laptopumu açabildiğim her yer ofisim” söyleminin devamı olarak bazı kafelerin birçok ofisten fazla iş ürettiğine inanıyorum. 




Ankara’yı bilenler için bu “ofis kafelere” verilebilecek en iyi örnek şüphesiz Kafes Fırın’dır. Üniversite yıllarımda limonatası için gittiğim ve benziliğin içinde bir ufak bir kafe olan, şimdilerde ise iki görüşme arasında çalışmak için gittiğim Kafes Fırın kendini geliştirip her anlamda Ankara’nın gurur duyması gereken markalardan biri haline geldi. Ankara’ya iş için geldiyseniz ve vaktiniz olursa Eskişehir yolundaki Kafes Fırın’a mutlaka uğrayın. Ankara’daysanız ve şimdiye kadar gitmediyseniz de bu eksiğinizi hızlıca tamamlamanızı öneririm.



Hayır, burası kafe-yiyecek-içecek blogu olmadı. Mobil ofis konseptine girmişken keyifli bir ortamı ve lezzetli tatları paylaşmak istedim sadece.

Laptoplar ve tabletler sayesinde işimizi gittiğimiz her yere götürme imkanımızın olması bizlere çalışma alanı konusunda esneklik sağlarken beraberinde de bazı riskleri hayatımıza soktu. Bunların başında laptopumuzu kaybetmek veya çaldırmak geliyor. Belki ikinci planda laptopların, sıvı dökülmesi veya düşmesi sonucu fiziksel olarak hasar görmelerini sayabiliriz. Laptoplardan bahsederken aslında işimizi yapabilmemizi sağlayan bütün taşınabilir cihazlardan söz ediyorum, tabletlerimizi ve kurumsal e-posta alıp gönderdiğimiz akıllı telefonlarımızı da düşünmeliyiz.


Laptop kaybının gerçek değeri nedir?
 Kimimiz pahalı laptoplar kullanırken kimimiz ise şirketin verdiği, zor açılan ve zor kapanan eski laptoplar kullanıyor olabiliriz ancak yaşanacak bir çalınma veya kaybolma olayında kaybımızın cihazın etiket fiyatıyla sınırlı olmayacağını şüphesiz hepimiz biliyoruz. Aşağıdaki fotoğrafı bu Cumartesi günü Ankara’da çektim. Gördüğünüz gibi laptopun kendisinden çok içindeki verilerin derdine düşülmüş ve olayın yaşandığı sokakta pek çok noktaya bu yazı yapıştırılmış.



Araştırma kuruluşu Ponemon Institute tarafından 138 laptop kaybı olayı üzerinde yapılan bir araştırma sonucunda ortalama bir laptop kaybı olayının 50,000 A.B.D. Dolarına mal olduğu belirtilmektedir. Raporda bu değere yeni laptop bedeli, kaybolan veriler, konuyla ilgili yaşanan iş kaybı ve hatta yeni laptop kurulumu için harcanan bilgi işlem personeli zamanı gibi pek çok konuda görünen veya görünmeyen giderler hesaplanarak ulaşılmış. Laptopun kurumsal merdivenin hangi basamağında kullanıldığına göre bu değer azalabilir (orta kademe yöneticilerde ortalama 28,000 A.B.D. Doları) veya artabilir (üst kademe yöneticilerde ortalama 61,000 A.B.D. Doları).


Laptopunuzu nerede çaldırırsınız?
Sizin de ilk aklınıza gelen yerlerdir; araba, ofis dışında çalıştığımız ortamlarda veya havaalanı gibi seyahat sırasında bulunduğumuz yerlerde. Prey Labs tarafından yayınlanan bir blog yazısında ise araştırmalarına göre, laptopunuzu çaldırma ihtimalinizin en yüksek olduğu yerler şunlar;

Arabanız: Yukarıda paylaştığım yazıda tarif edilen olay. Hırsız araba camını kırıp laptopu veya laptopun içinde bulunduğu çantayı çalar. Düşündüğümüzün aksine AVM veya havaalanı gibi halka açık otoparklarda bıraktığımız arabalar güvende değildir ve bunun sonucunda arabanın içerisinde bıraktığımız şeyler de aynı oranda güvensizdir. Yeri gelmişken; arabanın bagajından laptop çaldıran arkadaşlarım oldu (ve hayır laptopu arabanın bagajına AVM’ye park ettikten sonra koymamışlardı).

Halka açık alanlar: İnsanların toplandığı, oturduğu, bulunduğu kalabalık yerler laptop hırsızlıklarının yaygın olarak görüldüğü yerlerdir. Bu alanlarda bir de kablosuz internet hizmeti de varsa, hırsızlar buradaki taşınabilir cihaz yoğunluğuna uygun olarak oranın fırsatlarla dolu olacağının farkındadır. Havaalanları veya otobüs terminalleri, genel olarak hırsızlıkların sık görüldüğü yerler oldukları gibi taşınabilir cihaz özelinde de hırsızlık faaliyetlerinin yoğun olduğu yerlerdir.

Ofisiniz: AVM otoparkında bıraktığınız arabanız gibi, ofisiniz de aslında güvenli bir ortam değildir. Bundan birkaç yıl önce, Ankara’da bir Bakanlık binasına “çiçek getirdik” bahanesiyle ellerinde çiçekle giren 2 kişi en üst kata çıkmış ve aşağı her katta bulabildikleri laptopları, cüzdanları, çantaları ve diğer kıymetli eşyaları “toplayarak” inmişlerdir. Çalışma ortamınız satış ofisi, devlet dairesi veya mağaza gibi “halka açık” ise buraların güvenli olmadığını bilmekte fayda var.


Hangi tedbirleri almalıyız?
Laptop hırsızlıklarına karşı alabileceğimiz tedbirleri fiziksel ve bilgi güvenliğine yönelik olarak 2 gruba ayırabiliriz. Fiziksel olarak alınacak tedbirlerin başında aklınızı kullanmak ve içgüdülerini dinlemek gibi zaten başka eşyalarınızın çalınmasını engellemek için uyguladığınız tedbirler gelir. Biraz daha somutlaştırmak ve akılda kalmasını sağlamak için laptopunuzun çalınmasını önlemek için iki basit benzetme yapabiliriz.

En geçerli kural “laptopunuza nakit para gibi davranın” olacaktır. Bir kafede çalışırken tuvalete gidecek veya kahvenize biraz daha şeker alacak olsanız ve masanızda 10 adet 200 TL banknot olsa tahmin ediyorum onları yanınıza alıp öyle kalkarsınız. Aynı kuralı laptopumuza uygulamanın sonsuz faydası olacaktır. En kötüsü, benim başıma sıkça gelir, garson “ kalkıyor musunuz?” diye sorar, siz de benim gibi “yok, sadece tuvalete gidiyorum” dersiniz. Utanılacak bir şey yok. Benim genelde uyguladığım kural fiziksel teması kesmemektir. Örneğin yemek yerken laptop çantada ve yanında olsa bile kolumla veya bacağımla sürekli temas halinde dururum (özellikle güvenlik konularında “normal” olduğumu hiç iddia etmedim, siz isterseniz daha rahat davranabilirsiniz tabii ki)

İkinci kural ise “1 saniye bile olsa gözünüzü laptopunuzdan ayırmayın olacaktır”. Hırsızlık olayları dakikalarca sürmez, 1 en fazla 2 saniye içerisinde olur biter. Bu nedenle bir arkadaşlar sohbet etmek için kalkmanız gerekse bile ya masadan uzaklaşmayın, ya da laptopunuz görebileceğiniz bir yerde ve laptopunuza sık sık bakarak konuşun. Bu noktada sadece laptopa odaklanmanın ötesinde etrafta kimlerin olduğuna ve nereye doğru hareket ettiklerine de bakmanız gerekir. Özellikle birisi laptopunuzla sizin aranızdan geçerken daha da dikkatli olmanız gerekir. Bir kaç kez bir arkadaşımla konuşurken “özür dilerim, laptopumu göremediğim için tedirgin oldum, şurada konuşalım mı?” dedim ve sohbete laptopumu görebileceğim bir noktada devam ettik - “normal” mi? Bu kelimeyi anladığımdan emin değilim? :)

Laptop kayıplarında asıl canımızı yakan bilgi kaybını engellemek içinse aşağıdakileri uygulamakta fayda var.

Parola kullanın
BIOS seviyesinde bir parola belirleyin. Evet, bunlar atlatılabiliyor ve sıfırlanabiliyor ama laptopumuzu bulan kişiyi uğraştırmak önemli. Böyle bir önlemle birlikte laptopun altında bulunacak “bulana ödül verilecektir, şikayetçi olunmayacaktır” türünde bir yazı (ödül rakamını yazmak daha cazip olabilir) bu noktada hırsızın laptopunuzu size getirmesini bile sağlayabilir. BIOS parolasına ek olarak işletim sistemine de ulaşmak için kullanıcı ve parola belirleyin.

Verilerinizi şifreleyin
Dosyalarınızı ve verileriniz şifrelemek hırsızı bir miktar uğraştıracağı ve verilerinizi üçüncü taraflarca erişilemez hale getireceği için mutlaka kullanılması gereken bir çözümdür. Hırsızı uğraştırmanın ne kadar etkili olacağı konusunda şüpheniz varsa, bu insanların çalışmak yerine en kolay yoldan para kazanmaya çalıştıklarını hatırlamanızda fayda var. Şifreyi çözmeye uğraşacak sabrı olsa zaten o işi yapmazdı herhalde.

Verilerinizi yedekleyin
Tamam, olan oldu her şey gitti. Şifrelediğimiz ve parola kullandığımız için büyük ölçüde içimiz rahat ama dosyalarımıza ihtiyacımız var. Bu noktada dosyalarımızı yedeklemiş olmamız hayatımızı çok kolaylaştırabilir. Düzenli olarak ve sık aralıklarla yedek almak veri kaybınızı azaltacak en etkili çözümdür. Yedekleme işlemini satınalacağınız bir harici disk kullanarak da yapabileceğiniz gibi bulut yedekleme hizmetlerinden birisinden de faydalanabilirsiniz.

Diğer konular
İnternet tarayıcılarınızın hatırladığı bütün parolaların hırsızlar tarafından ele geçirileceğini düşünün. Bu nedenle “beni hatırla” seçeneğini günlük hayatınızdan çıkartmanız (ki zaten en başında yeri yoktu) faydalı olacaktır. Her ihtimale karşı bir kayıp/çalıntı olayından sonra bütün parolalarınızı değiştirmenizde fayda var.

Laptopunuzda mümkün olduğunca az veri tutun. 3 yıl öncenin fiyat tekliflerine arada bir ihtiyacınız olabilir (yoksa zaten silin) bu durumda bu dosyaları ofiste bir sunucu üzerinde tutmak daha mantıklı olacaktır. Laptopunuz çalındığında üzerinde ne kadar az veri olursa olayın etkisi o kadar az olacaktır.


Kurumsal olarak ne yapılmalı?
Genel olarak çalışanların ve özellikle de iş için seyahat edenlerin hırsızlıklar konusunda farkındalığının artırılması için çalışmalar yapılmalıdır.

Laptop hırsızlıklarının olması durumda çalışan sorumluluğun biliniyor olması önemlidir. Sorumluluğun ne kadarı yüklenir, tazminat süreci nasıl olur gibi konularda karar yönetimin olacaktır benim bir yorum yapmam doğru olmaz. Çalışana hiç sorumluluk da yüklenmeyebilir, önemli olan bunun biliniyor olmasıdır.

Kuruma ait laptopların detaylı ve güncel envanterinin tutulması çok önemlidir.
İş gereği seyahat eden çalışanların harici disk kullanma kurallarının belirlenmiş olması önemlidir. Bu senaryoda harici diskler veri kaybını azaltacak bir çözüm olarak görülebilir.
Laptoplarda bulunan verilerin düzenli olarak yedeklenmesi için bir yapı kurulmalı ve kullanılmalıdır.

Laptoplar üzerinde kurumun logosu (isteğe bağlı olarak daha önce belirttiğim ödül ve iletişim bilgilerinin) silinemeyecek şekilde bulunmasında fayda vardır.
Kurum genelinde yapılacak bir “önemli bilgi envanteri” çalışması kapmasında veya laptop özellerinde hangi çalışanın laptopunda hangi verilerin bulunduğunun listesinin çıkartılması önemlidir. Laptopla birlikte gerçekten ne çalındığını ancak bu sayede takip edebiliriz.

Çalışanların çalıntı/kayıp olaylarını raporlayabileceği bir sürecin oluşturulması ve yürütülmesi önemlidir.



MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...