Bulut Teknolojisi: Dost mu? Düşman mı?

Ne zaman “bulut teknolojisi” kelimelerini cümle içerisinde kursam karşımdakilerin önemli bir kısmından verileri veya uygulamaları buluta taşımanın ne kadar güvensiz olduğu konusunda uzunca bir nutuk dinliyorum.

Resim 1: Dost ve düşman bulutlar (temsili ve evet bunları çizmeyi seviyorum)

Bulut teknolojisinin diğer teknolojilerden ne daha güvenli ne de daha güvensiz olduğunu düşündüğüm için hem mevcut tehditleri sıralamak hem de bazı güvenlik önerilerinde bulunmak istiyorum.

Tehlikeyi anlamak

Başkaların verilerinize ulaşabilir, değiştirebilir veya silebilir

Söz konusu verilerimizi ve sistemlerimizi buluta taşımak olduğunda kuşkusuz en büyük korkumuz verilerimizin başkasının eline geçmesidir. Yaşanan büyük güvenlik ihlalleri (target, iCloud, vb.) etrafında yaşanan tartışmaların ateşi henüz geçmedi. Bulut üzerinde bulunan verilerin platform, başka kullanıcıların hataları veya yanlış kurulumlar nedeniyle erişilebilir hale gelmesi ne yazık ki mümkündür.

Verilere erişebilen saldırganların bunları silmesi veya duruma göre değiştirmesi de mümkün olabilir.

Hesabınızı ele geçirebilirler

Oltalama (phishing) benzeri sosyal mühendislik saldırıları veya güvensiz bir ağ üzerinden bağlanmanız durumunda; doğrudan ağ üzerindeki iletişiminizi yakalayarak, buluttaki verilere veya sistemlere ulaşmak için kullandığınız bilgiler (kullanıcı adı ve parola) elde edilebilir. Bu durumda saldırganlar aynı bilgileri kullanarak sistemlerinize erişim kazanmış olur.

Güvensiz API’ler

API’ler (Application Programming Interface – Uygulama Programlama Arayüzü) buluttaki sistemlerinizi yerel ağdaki sistemlerle veya buluttaki başka sistemlere entegre etmek için çok kullanışlıdır. Ancak zayıf bir API, buluttaki sistemlerinizin kapısını saldırganlara açabilir. Bunun en “güzel” örneklerinden birisi iCloud hadisesidir.

Hizmet dışı bırakma

Önemli iş süreçlerini buluta taşıdıktan sonra başımıza gelebilecek en kötü şeylerden birisi de bu sistemlere erişememektir. Yeterince önlem alınmazsa hizmet dışı bırakma saldırısı (DoS/DDoS – Denial of Service/Distributed Denial of Service) karşısında elimiz kolumuz bağlı oturmaktan başka çaremiz kalmaz.

Yetersiz hazırlık

Buluta taşınacak sistemlerin doğru analiz edilmesi ve uygun bulut mimarisinin seçilmesi sadece performansı değil, aynı zamanda buluttaki verilerin ve sistemlerin güvenliğini de doğrudan etkiler. Bulutta alınacak güvenlik tedbirlerinin yerel ağ üzerindekilerden farklı olduğunun, sunucu ve veri tabanı mimarilerinin de farklılık gösterebileceğinin anlaşılması gerekiyor.

Yukarıda saydıklarımın dışında içeriden birinin bilgi sızdırması, yetersiz şifreleme teknolojileri, basit parola kullanımı gibi genel geçer güvenlik zafiyetlerinin de bulutta mevcut olduğunu hatırlatmakta fayda görüyorum.

Güvenlik için Önlem Almak

Verilerinizin ve sistemlerinizin bulutta güvende olmasını sağlamak için bulut hizmetini aldığınız yerin de üzerine düşen şeyler var. Bu listedekileri teyit ederek doğru bir şirketten bulut hizmeti aldığınızı kontrol edebilirsiniz.

Hareket halindeki verinin korunması

Veri bir yerden başka bir yere transfer edilirken gerekli şifreleme ve kimlik doğrulama önlemleri alınmalıdır. Veri transferi sırasında üçüncü kişilerce verinin değiştirilmesi veya okunmasının önüne geçilmelidir.

Fiziksel güvenlik

Verilerin tutulduğu platformların fiziksel güvenliği sağlanmalıdır. Sunucuların veya bulut platformunun çalınması, zarar görmesi veya değiştirilmesi bilgi güvenliği ihlaliyle sonuçlanabilir.

Kullanıcıların ayrılması 

Saldırganların aynı bulut yapısını kullanan başka bir kullanıcıya sızmaları veya aynı bulut yapısı üzerinde kendilerine kullanıcı açması halinde bu hesaptan sizin verilerinize ulaşamamaları gerekir.

Bilgi güvenliği yönetimi 

Bulut hizmeti alacağınız firmanın bu yapıyı nasıl yönettiğinin ve gerekli bilgi güvenliği yönetimi süreçlerinin var olduğundan emin olunmalıdır.

Güvenlik süreçleri

Bulut hizmetini aldığınız firmanın bilgi güvenliğine ilişkin süreçleri de oturmuş olmalıdır. Örneğin sızma girişimlerini nasıl yönetiyorlar? DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarına karşı nasıl bir eylem planları var? Gibi soruların cevapları net olmalıdır. “Bize kimse saldırmıyor”, “o işe bakan bir ekip var ama başka şehirdeler”, “çok sağlam heykır bir arkadaş var, o koruyor”, “mikrotik (jenerik üretici adı anlamında) var be yeeaaa” gibi cevaplarla karşılaşırsanız bulut teknolojisine geçmek için çok yanlış yerdesiniz, koşar adımlarla uzaklaşmanızda fayda var.

Personel güvenliği

Bulut hizmeti aldığınız veri merkezinin personelinin gerekli güvenlik kontrollerinden geçmiş, “düzgün” tabir edebileceğimiz kişilerden oluşmasında fayda var. Bunu anlamak için bulut hizmeti almayı düşündüğünüz firmanın işe alım prosedürlerini ve referans kontrollerinin yapılıp yapılmadığını sormanın faydası olabilir.

Güvenilir uygulamalar

Bir uygulamayı buluta taşıyacaksanız bütün dünyanın buna erişimi olabileceğini düşünmenizde fayda var. Bu nedenle bulut üzerinde çalıştıracağınız uygulamanın kaynak kod analizin ve güvenlik testlerinin yapılmış olmasında fayda var.

Güvenlik yönetimi: Bulut yapısını kullananlara kendi güvenliklerini sağlamak için gerekli yönetim arayüzlerinin ve hayati gelişmeleri takip edebilecekleri ekranların sunulması önemlidir.

Yetkili erişim

Bulut yapısına ve bulut yapısı üzerinde çalışan sistemlere erişimin sadece yetkili kişilerle sınırlandırılmış olması önemlidir.

Dışarıya bakan arayüzlerin güvenliği

Bulut platformunun internete bağlı olan her noktası için gerekli güvenlik önlemleri alınmalıdır. Örnek olarak web tarayıcısı ile port 80 üzerinden erişenleri ülke bazında sınırlandırdıysak SSH ve RDP bağlantıları için de benzer önlemlerin alınması gereklidir.

Güvenli hizmet verme

Bulut hizmeti aldığınız firmanın düzenli olarak güvenlik testlerini yaptırması ve güvenlik altyapısı konusunda gerekli yatırımları ve iyileştirmeleri yapıyor olması önemlidir.

Kullanım kılavuzunu okuyun 

Hizmet şartlarınızı, sözleşmeyi ve size bulut hizmeti veren firma ile aranızdaki SLA’yi (Service Level Agreement – servis şartlarını düzenleyen anlaşma) dikkatle okuyun. Okurken aklınıza yatmayan veya size uygun olmayan bir şart varsa buna mutlaka açıklık getirin. “Orada öyle yazıyor da biz pek şeyapmıyoruz be yeeaaa” türü açıklamalar yapılır koşarak uzaklaşın.

İhtiyaç duyduğunuz güvenlik seviyesini belirleyin

Buluta taşımak istediğiniz verileri veya sistemlerin ne kadar önemli olduğuna göre ihtiyacınız olan güvenlik seviyesini belirlemelisiniz. “güvende olmalı” gibi genel bir yaklaşımdan ziyade basit bir tablo ile en kritik yönlerini ve tehdit oluşturabilecek zafiyetleri listelemek ve bunları adreslemek gerekir.

Varsayımda bulunmayın

Hizmet aldığınız şirketin hiç bir şey yaptığını varsaymayın, her şeyi sorun ve belgeleyin. 

Bulut konusunda temel görüşüm, buluta taşınan verilerinizin, en az kendi ağınızda olduğu kadar, genellikle de daha güvende olduğudur. Doğru bir firmadan hizmet alırsanız ve sistemlerinizin güvenliğine özen gösterirseniz güvenlik seviyeniz artacaktır.

DDoS, FBI ve Bomba İhbarı

Siber saldırılar konusunda arada bir de olsa beni heycanlandıran bir olayla karşılaşıyorum.
Mesleki deformasyon olsa gerek bir saldırganın özel olarak hazırlanmış bir oltalama (phishing) maili ile yine özel olarak hazırladığı bir zararlı yazılımı birine gönderip sistemi veya networkü ele geçirmesi beni eskisi kadar heycanlandırmıyor.

Resim 1: Haddinden fazla güvenlik ihlali gören ben (temsili)

Ancak geçtiğimiz günlerde SONY'nin başına gelenler normalde gördüğümüz saldırılardan biraz farklıydı.

Sony'de ne oldu?
24 Ağustos'ta yapılan DDoS saldırısı Kuzey Amerika'daki Play Station Ağını (Play Station Network) hedef aldı ve Play Station 3 ve Play Station 4 kullanıcılarının bu ağa erişimini engelledi.

DDoS Nedir?
Fazlasıyla gündemde olan DDoS saldırıları yapılması en basit ama savunması en zor saldırılardır. DDoS (Distributed Denial of Service) Türkçe'ye Dağıtık Hizmet Dışı Bırakma Saldırısı olarak geçmiştir. Bu saldırıların amacı hedef sistemin kaynaklarını tüketerek kullanıcıların sisteme erişimini engellemektir. Saldırıların hedef aldığı kaynaklar internet bağlantısı (bant genişliği), sistem işlemci kapasitesi ve sistemin hizmet verebileceği oturum sayısı olabilmektedir.
Saldırganlar ile kullanıcıları ayırmak zor olduğu için de bu saldırılara karşı kendimizi korumak uzmanlık ister.

Sony'yi hedef alan bu saldırıda ise NTP (Network Time Protocol) kullanarak saldırının etkisi arttırılmış ve toplam saldırı bant genişliğinin 263 Gbps (saniyede 263 Gigabit) olduğu iddia edilmektedir. SNMP protokolü gibi protokollerin bu tür saldırıların etkisini arttırmak için kullanıldığına bu yazımda kısaca değinmiştim (http://www.alperbasaran.com/2014/05/yalnz-161-yaz-ile-yuzaltmsbir.html), belki de DDoS konusunda daha kapsamlı bir yazı hazırlamanın zamanı gelmiştir.

Sony'de Asıl ne Oldu?
DDoS saldırısının dışında asıl dikkat çekici olay DDoS saldırısını üstlenen çetenin SONY'nin Balkanı John Smedley'i taşıyan uçakta bomba olduğuna dair attıkları Tweet idi.

Resim 2: Lizard Squad grubu tarafından atılan Tweet

Bu Tweet üzerine havadaki uçak en yakındaki havaalanına indirildi ve uçakta bomba araması yapıldı. Uçağın indirilmesi ve bomba araması işlemleri sırasında FBI (bkz. "lanet olası Federaller") da operasyona önemli ölçüde dahil olmuş. 

EEeeee?

Eeesi şunlar;

1- Gerçek hayatta bir müdahale ile siber ortamda bir saldırı eşzamanlı olarak yapıldı. 

Bunu daha önce ülkeler arasındaki operasyonlarda görmüştük ama özel bir şirketin bu şekilde hedef alındığını ilk defa duyuyoruz. 

2- FBI bir siber suç grubunun bomba ihbarını ciddiye alarak uçak indirdi.

FBI Twitter üzerinden yapılan bir hacker grubunun tehdidini bu kadar ciddiye aldığına göre siber ortamda suç işleyen örgütlerin gerçek suç örgütleri ile aralarındaki bağlantıların gözden geçirildiği ve siber saldırıların yanında fiziksel saldırıların da beklenmesi gereken bir döneme girdiğimizin göstergesidir. 

Bu grup ve eylemlerini yakından takip etmekte fayda var, güvenlik konusunda öğrenebileceğimiz bazı şeyler var gibi. 

Ayın fıkrası: Santralimiz Hacklenmez

İşim gereği son zamanlarda santral projeleri ve santral üreticiyle yakın çalışma fırsatım oldu. Bütün bu görüşmelerde santral üreticisinin “sistemimiz hacklenmeye karşı korumalıdır” sözü ile Kurum Bilgi İşlem yetkilisinin “biz bu işleri çok iyi bildiğimizden gerekli önlemleri zaten alıyoruz, bizi hackleyemezler” iddiaları arasında gülmemek için kendimi zor tutuyorum. Eğlenceli oluyor olmasına ama bir yandan da Ülkemin güvenlik konusunda daha ne kadar yol alması gerektiğini görmek beni üzüyor.  

Benim gibiler için telefon sistemlerine yönelik yapılan saldırıların bir de tarihi anlamı var. Bir çoğumuza ilham kaynağı olan Captain Crunch ve Kevin Mitnick gibi isimlerin ilk "ilgi alanlarının" telefon sistemleri olduğunu hatırlatmaya gerek bile yok. Steve Jobs ve Steve Wozniack'ın Apple'dan önce ücretsiz telefon görüşmeleri yapmayı sağlayan "Bluebox" kutuları üretip sattıklarını bilmek ise, benim için olaya neredeyse nostaljik bir boyut katıyor.

Resim 1: Bluebox (Kaynak: http://en.wikipedia.org/wiki/Blue_box)

İnternet üzerinden yapılan görüşmelerin güvenliği konusu çok dallı budaklı ve uzmanlık isteyen bir konu olduğu için bu yazıda ancak yüzeyin ufak bir kısmını kazıdığımı belirtmem lazım. VoIP güvenliği konusunda yol almak isteyenlerin yakın durması gereken bir isim, Dünya’da da bu konuda otorite olarak kabul gören Fatih Özavcı’ya (Twitter: fozavci) saygılarımı da ileterek konuya gireyim.

Herhangi bir kurumun VoIP altyapısına karşı yapılan saldırılara bakınca, çoğunda karşımıza aşağıdaki saldırı türleri çıkmaktadır.

Hizmet dışı bırakma saldırıları

İzinsiz dinleme

İzinsiz çağrı açma

Giden çağrıları yönlendirme

Uluslararası görüşme trafiğinin kurum santrali üzerinden geçirilmesi

Son kalemde sadece geçtiğimiz ay ve Ankara’da duyduğum örnekler 200.000 TL’den fazla bir maddi zarara yol açmıştır. Bu saldırı türünde görüşmeler fiilen santral üzerinden geçtiği için operatörün ilgili birimleri tarafından zamanında fark edilip “fraud” (dolandırıcılık) olarak belirlenmezse kurum bu ücreti ödemek zorunda kalacaktır.

Internet’teki diğer uygulamalara ve sunuculara karşı yapılan hizmet dışı bırakma saldırılarında olduğu gibi, yapması kolay, önlemesi zor saldırılardır. 2009 yılında Amerika Birleşik Devletleri’ndeki bir operatöre karşı yapılan saldırı şu meale gelecek sözlerle özetlenmiştir: “normal şartlarda 32 milyon çağrı aldığımız bir anda 69 milyon çağrı geldi, ne yapacağımızı bilemedik”.

Son zamanlarda daha sık görmeye başladığımız “mega DDoS” saldırılarının VoIP sistemlerinin aksamasına yol açtığını biliyoruz. Bazı olaylar basına yansısa bile genel kanı VoIP sistemlerine yöneltilen ve başarılı olan saldırıların sayısının tespit edilmesinin zor olduğu yönündedir. “Mega DDoS” saldırıları DNS ve benzeri, verdiği cevap aldığı paketin boyutundan büyük olan servislerin DDoS saldırısının boyutunu arttırmak için kullanıldığı saldırılardır. Bunu böyle kullananlar var mı bilmiyorum ama ileride Discovery Channel’da bir belgesel yapılsa ismi bu olurdu gibi geldi.

Hizmet dışı bırakma saldırılarını gerçekleştirmenin en kolay yolu hedef sisteme çok sayıda SIP INVITE paketi göndermektir. Bu arada 2009 yılında hedef sistemin tek bir paket (Invite of Death – Ölüm Paketi) gönderilerek de hizmet dışı bırakılabileceği de keşfedilmiştir. Eldeki bilgiler “Ölüm Daveti” (çok uygun bir isimmiş) zafiyetinin çok sınırlı sayıda sistemde görüldüğü yönündedir. “Mega DDoS” denilince aklımıza hemen çağrı merkezlerine veya operatörün omurgasına yönelik yapılan büyük saldırılar gelse de kurumları hedef alan saldırılar daha yaygın olarak görülmektedir. Hem az kaynak gerektirdiği için hem de kurumların çoğunda gerekli güvenlik önlemlerinin alınmamış olması saldırganların iştahını daha da kabartmaktadır.

VoIP altyapısına karşı yapılan saldırılar arasında şüphesiz en “artistik” olanı yapılan görüşmeleri dinlemektir. 2012 yılında ortaya çıkan bir zafiyetin telefon görüşmelerini değil, telefonun bulunduğu odada ortam dinlemesi yapmaya imkan vermesi başlı başına bir olay olmuştu zaten (ayrıntılar: http://events.ccc.de/congress/2012/Fahrplan/events/5400.en.html). Yapılan görüşmelerin dinlenmesi kullanılan şifreleme algoritmasının kırılması ile mümkün olmaktadır. Bunun yanında, KTH Kraliyet Teknoloji Enstitüsü araştırmacısı Vasily Prokopov yaptığı bir çalışmada şifreleme algoritmasını kırmakla uğraşmadan konuşmaların dinlenebildiğini göstermiştir. Hecelerin şifrelenmiş hallerini konuşmadaki seslerle karşılaştıran çalışma %50 ile %90 başarı oranıyla konuşmaların içeriğinin çözülebildiğini göstermiştir (ayrıntılar: http://www.kaspersky.com/images/Vasily%20Prokopov.pdf ).

“Herşey iyi güzel de, bunlar gerçek hayatta ne işimize yarayacak?” dediğinizi duyar gibiyim. Ya da demo yapmak için bahane uydurmak için bu girişi yaptım. Müşterilerimin bir kısmında da yaygın olarak kullanılan Asterisk santral ile basit bir yapı kuruyorum.

Bunun için, kolay kurulum için hazırlanmış AsteriskNOW yazılımı üzerine hazırlanmış ve güvenlik testleri konusunda pratik yapmak için yayınlanmış VulnVoIP sanal makinesini kullanıyorum. VulnVoIP’i bıradan indirabilirsiniz: http://www.rebootuser.com/?page_id=1739

Yazının kalanında Kali Linux üzerinde kurulu gelen bazı araçları kullanacağım ama bu konuda pratik yapacakların Fatih Özavcı’nın Viproy’unu mutlaka indirip kullanmaları gerekmektedir. http://www.viproy.com/

Kurduğum yapı kısaca şöyle:

Resim 2: Buna mı laboratuar diyorum?

Resim 3: VulnVoIP login ekranı

Resim 4: Kali Linux IP ayarları

Göreceğiniz gibi saldırgan olduğum için Asterisk santralin IP adresini henüz bilmiyorum. Asterisk santrali bulmak için kullanabileceğim çeşitli yöntemler arasında ShodanHQ, Google ve port taraması verilebilir. Uluslararası telefon trafiğimi bedava taşıyacak ve yüklü faturayı ödeyecek bir kurban arıyorum, bunu da başka bir ülkede aradığım için tespit edilme korkum yok. O nedenle port taraması ile hızlıca hedef tespiti yapıyorum.

Verdiğim IP aralığında 5060 ve 5061 numaralı portları olan açık makineleri tespit etmek için NMAP kullanacağım. Bunlar SIP protokolü tarafından kullanılan portlar olduğu için bu portlardan hizmet veren makinenin SIP sunucusu olduğunu ve benim için hedef olabileceğini düşünüyorum.

Resim 5: Nmap ile SIP sunucusu aramak

 SIP hedeflerini tespit etmek için SVMAP aracını da kullanabilirim. Bu araç vereceğim IP aralığındaki SIP hizmeti veren makineleri buluyor. Göreceğiniz gibi NMAP’in “port kapalı” dediği makine hakkında ilginç bilgiler toparladı.

Resim 6: SVMAP kullanımı

Resim 7: SVMAP tarama çıktısı

Metasploit’un içerisinde de SIP sunucuları tespit etmemizi sağlayan bir araç var.

Resim 8: Metasploit ile SIP tarama

Resim 9: Metasploit Asterisk'i buldu

Bazı saldırıları gerçekleştirmek için santralin dahili numaralandırma sistemini ve kullanılan dahili numaralara ihtiyacım olabilir. Bunun için numaraları tek tek çevirmek yerine kullanabileceğim araçlar var. Bunlardan bir tanesi SVWAR, benim yerime numaralara INVITE gönderip aldığı cevapları raporluyor. Bu aracın verdiği uyarı “karşı tarafta telefon çalmasına ve insanların gecenin köründe uyanmasına neden olabilirsiniz”...

Resim 10: SVWAR ile dahili numara tespiti

Karşımdaki sistemin tam olarak ne olduğunu anlamak için NMAP ile daha kapsamlı bir port taraması yapıyorum.

NMAP’e fazladan parametre vermeden yaptığım tarama aşağıdaki sonucu veriyor

 Resim 11: NMAP taraması olmadan olmaz

NMAP taramasını bütün portları kapsayacak şekilde genişlettiğimde ise manzara biraz değişiyor

Resim 12: Sürprizlerle dolusun NMAP (ipucu: Port 5038)

Google araması Asterisk sistemlerde 5038 numaralı portun telnet ile ulaşılabilecek bir konfigürasyon arayüzü olduğunu ortaya çıkartıyor.

Aşağıda görüldüğü üzere bu senaryoda Asterisk santrali kuran fabrika çıkışlı kullanıcı adını ve parolasını değiştirmediği için bunlarla sisteme erişebiliyorum.

Resim 13: Telnet ile Asterisk'e erişmek

Resim 14: Telnet ile Asterisk kullanıcıları ve parola bilgilerini çekmek

Şimdi de daha alışık olduğumuz saldırı araçlarından olan Metasploit’u kullanarak komut satırı elde etmeye çalışalım.

Metasploit’un bildiği FreePBX istismarlarını arıyorum.

Resim 15: Metasploit'ta bulunan Asterisk istismarı

Bulduğu istismarı deneyelim

 Resim 16: İstismar parametrelerini ayarlıyorum

 Resim 17: Komut satırı geliyor

Resim 18: Asterisk komut satırı ve IP adresi

Resim 19: Bir amerikan atasözü der ki: "Root is a state of mind"

Bu saldırıların ve zafiyetlerin çoğu gerçekte kullanılan sistemlerde karşımıza çıkmatadır. Bu tür saldırıların önüne geçmek için alınabilecek en temel önlemler şunlardır:

• Santral üzerinde bulunan ek özellikler ek protokolleri beraberinde getirebilir. Kurum tarafından kullanılmayan özelliklere ilişkin portların kapatıldığından emin olun. 
• Bilgisayar sistemleri gibi internete değen herşeye saldırılabileceğini unutmayın.
• VoIP altyapınızı ve ağınızı bilgisayar ağınızdan mutlaka ayırın
• Mevcutta kullandığınız güvenlik çözümlerinin IP santralinizi de koruduğundan emin olun

Kaç Paralık Güvenlik Lazım?

Güvenlik Yatırımlarına Karar Vermek: “Güvenlik işinde hesabını bilmek” 
Bundan bir süre önce güvenlik yazılımları satarken sıkça karşılaştığım bir soruydu bu: “bir şirket bilgi güvenliğine ne kadar para harcamalıdır?”. Bankacılık ve Finans okuyup üzerine işletme yüksek lisans yaptıysanız “gerektiği kadar” cevabı sizi tatmin etmekten uzaktır. Aklınızın bir köşesini kemirir durur bu soru. Kendimce bu soruya cevap vermemi sağlayan birkaç yaklaşımı sizlerle paylaşmak istiyorum.

 Bilgi Güvenliği Konusunda Karar Vermek Neden Bu Kadar Zor? 
Bilgi güvenliği konusunda net bir karar vermemizi engelleyen en önemli şeylerden birisi kuşkusuz yeterli veriye sahip olmayışımızdır. Geçen sene, geçen ay veya geçen hafta sizinle aynı sektörde kaç firmanın ağına saldırı düzenlendiği, bunun kaçının başarılı olduğunu veya saldırıların türleri konusunda bilgi sahibi olmayışımız bilgi güvenliği konusundaki kararları kendi içimizde vermemizi gerektiriyor. Bütün komşuların alarm ve çelik kapı taktırdığını görsek, biz de aynı önlemleri alırız tabii ki. Ama komşularımızı görmediğimiz bir ortamda karar tamamen bize kalmış oluyor. Yukarıdaki konuya paralel olarak çoğu zaman bize karşı doğrudan yapılan saldırıların bile farkında olmuyoruz. Korumaya çalıştığımız şeylerin somut olmayışı ve hatta kolayca kopyalanır yapıları işimizi çok zorlaştırıyor. Öyle ya, muhasebe programınızın veri tabanının bir kopyası alınsa bunu nasıl fark edeceksiniz? Veri tabanının silindiğini fark ederiz, değiştirildiğini bir ölçüde fark edebiliriz ama kopyalandığını bize açıkça gösterecek bir delil yok. En azından bu delil programı günlük olarak kullananların görebileceği/anlayabileceği türden bir şey değil. Bu durumda risk sadece veriyi kaybetmek değil, veriye başkalarının ulaşması demektir.

 Okulda Gördüklerimiz Gerçek Hayatta İşimize Yarar Mı? 
Okulda gördüğümüz ROI (Return On Investment) veya NPV (Net Present Value) gibi finansal hesaplar işimize yarar mı peki? ROI (Return On Investment – Yatırım Üzerinden Geri Dönüş) bize yaptığımız yatırım karşılığında ne kazandığımızı söyler. Peki, güvenlik gibi bize doğrudan para getirmeyecek bir yatırım kaleminde işi nasıl ele alabiliriz? Her şeyden önce riski ve bu riske karşılık gelecek tutarı ortaya koymamız gerekir. Firmanızın bilgi güvenliğine karşı düzenlenebilecek 1024 farklı saldırı çeşidi olarak ama dikkate almamız gerekenler size doğrudan zarar verebilecek olanlardır. Kusursuz bir dünyada aklınıza gelebilecek bütün açıkları kapatmak ve bütün riskleri örtmek için çabalayabilirsiniz ama gerçek dünyanın kısıtlamaları size bunlardan sadece bazılarına karşı kendinizi koruma imkanı veriyor. Dolayısıyla en kritik olandan başlayarak daha az önemli olanlara doğru giden bir sınırlandırma yapmak zorundayız. Bazı saldırıların maddi sonuçları olabileceği gibi bazılarının sonuçları ne yazık ki tam olarak ölçülebilir değildir.

 Gerçek Tehdit Seviyesini Anlamak 
Tehdit seviyesinin net olarak ortaya konulması yatırımı yapacak yöneticilerin karar vermesini kolaylaştıracaktır. Bilgi güvenliği konusunu daha kolay anlamak için korumamız gereken sunucuları ortaçağı kalelerine benzetebiliriz.
Bu durumda kalemizin gerçekte ne kadar tehdit altında olduğunu anlamak için aşağıdaki göstergeleri göz önünde bulundurmalıyız:
Açıklık: Kalemizin ne kadar açık bir arazide bulunduğu.
Çevre: Kalemizin etrafının özellikleri. Surlarımız geniş ve yüksek mi? Saldırganları koruyabilecek çıkıntılar var mı?
Koruma seviyesi: Kalemizin ne kadar korunduğu. Nöbetçilerimizin sayısı, savunma silahlarımızın durumu, kapılarımızın sağlamlığı ve benzeri savunma yöntemleri.
Tehdit: Civar tepelerde gezen ve bize saldırması muhtemel yağmacı gruplarının sayısı ve yoğunluğu.
Saldırılar: Kalemize atılan ok ve taş sayısı.
Zaaf: Surların ne kadar kolay aşılabilir olduğu.
Değer: Surların aşılması durumunda kaybedilecek altın/hazine/insan değeri.

Risk hesaplamasını kolaylaştırmak için kullandığımız bu benzetmede görülen başlıkları aşağıdaki risk formülüne yerleştirerek gerçekte ne kadar risk altında olduğumuzu anlamamız mümkün olacaktır.

 Risk nedir? 
 Risk budur! 

Risk = Zaaf x Saldırılar x Tehditler x Açıklık 

Bu sistem alabileceğiniz en yüksek puan 625 ve en düşük puan 1 olacaktır. Puan ne kadar yüksek olursa güvenlik konusunda yapılması gereken o kadar iş vardır.
Örneğin: Uygun fiyatına kanarak hizmet aldığınız veri merkezinin sürekli saldırı alıyor olması ve size ucuz hizmet verdiği için gerekli güvenlik yatırımlarını yapacak parasının olmaması sizin açıklık ve tehdit katsayılarını 5 yapacaktır. Bunun yanında zayıf noktaları hemen herkes tarafından bilinen bir CMS (Content Management System – İçerik Yönetim Sistemi) kullanıyorsanız Zaaf katsayınız 5 olacaktır.
Size özel herhangi bir saldırının olmadığını da varsayarak (rastgele saldırıların artan sıklığı nedeniyle saldırı katsayınızı 3 aldık) Risk durumunuz aşağıdaki gibidir:
Risk = 5 x 3 x 5 x 5 = 375

Bu model kabaca hangi konularda yatırım yapılmasını gerektiğini ve genel güvenlik durumunuzu gösterir. Örneğin yukarıdaki durumda olan bir emlak danışmanlık firması müşteri listesine biçtiği değerle bu yatırımı karşılaştırıp bir karar vermek zorundadır. Müşteri listesinin kaybolması/çalınması/rakibe gitmesi durumunda net bir gelir kaybı yaşamayacaksa bu riski kabul edilebilir olarak değerlendirebilir. Benzer durumdaki bir e-ticaret sitesi doğrudan para kaybedeceği için bu riski kabul edilebilir görmeyecek ve notunu en hızlı şekilde düşürecek yatırımlardan başlayarak risk seviyesini kabul edilebilir düzeye hızla indirecektir.

Puanınız ne kadar yüksek çıkarsa çıksın moralinizi bozmayın. Ne de olsa "%100 güvenlik" yoktur, sadece “daha güvenli” vardır. Hızlı ve basit birkaç iyileştirme ile notunuzu kolayca düşürebilirsiniz. Önümüzdeki günlerde daha detaylı bir risk analizinin nasıl yapılacağını ayrıca ele alacağım.

Güvenlik 101

Üniversitede aldığımız ekonomi 101 dersi gibi güvenlik teorisi konusunda harcanan zamana ve bunu anlamak için yitip giden zamana uzun süre anlam veremedim. Bildiğiniz “bunlar gerçek hayatta ne işimize yarayacak?” sorusunu soruyordum kendime ve cevabı bulmam mümkün olmuyordu. Birkaç yıl sonra yine bu konuda karşıma çıkan bir yazıyı okurken fark ettim ki aslında gerçek dünyada en çok işimize yarayan şeyler “güvenlik 101” olarak adlandırabileceğimiz temel bir dersin içeriği.

“Güvenliğe giriş” diye bir ders olsaydı ilk konu CIA olurdu

CIA muhtemelen aklınıza ilk genel CIA değil, kastettiğim CIA; Confidentiality (Gizlilik), Integrity (Bütünlük) ve Availability (Erişilebilirlik) kelimelerin baş harfleridir.

Gizlilik (Confidentiality):
Burada gizlilik bir bilginin saklanması ve bilginin ilgili taraflar dışına sızmaması olarak iki anlam taşımaktadır. Dolayısıyla bilginin veya verinin ilgili sistem içerisinde kalması için alınan bütün önlemler bilginin gizliliği başlığı altında toplanabilir. Bu seviyede gerçekleşecek bir zafiyet bilgi, veri ve duruma göre para kaybı anlamına gelebilir. Gizlilik konusunda aklımıza gelen ilk önlem parola korumasıdır. Genellikle kullanıcı adıyla birlikte kullanılan parolalar kullanıcının kimliğini doğrulamayı amaçlarlar. Retina/parmak izi taraması gibi biometrik çözümler ve akıllı kartlar da aynı işlevi görmektedir.

Bütünlük (Integrity):
Bütünlük verilerin izinsiz olarak değiştirilmesini, yeni bilgiler eklenmesini veya mevcut bilgilerin çıkartılmasını engellemeyi amaçlar. MD5 ve SHA-1 hash yöntemleri veri bütünlüğünü korumak amacıyla geliştirilmiştir.

Erişilebilirlik (Availability):
CIA üçlüsünün bileşenleri arasında en kolay ölçülebilenidir. Sistemlerin ve verilerin ulaşması gereken kişilere ulaşılabilir halde olması erişilebilirliktir.

Hocam bunlar gerçek hayatta ne işimize yarayacak?

Yukarıda belirttiğimiz üç ana başlık saldırganların temel hedeflerini özetlemektedir. Bu saldırıların ortak özellikleri aşağıdaki gibidir. İlk şekilde normal haliyle gerçekleşmesi gereken iletişim gösterilmiştir

Normal iletişim (Şekil 1-A)

Veri gizliliğine karşı saldırı (Şekil 1-B)

Görüldüğü üzere kötü niyetli (bkz. siyah şapkalı adam) üçüncü taraf diğer iki taraf arasında gerçekleşen iletişime dahil olmaktadır. Burada kullanılan başlıca saldırılar paket yakalama, dinleme ve kopyalama modelleri üzerine kuruludur.

Veri bütünlüğüne karşı saldırı (Şekil 1-C)

Bu saldırı türünde kötü niyetli üçüncü taraf paketleri yakalamakla kalmaz, paketleri değiştirerek alıcıya iletir. Böylece iki taraf arasındaki iletişimde veri bütünlüğü bozulmuş olur. Bu saldırı modeli üç aşamalıdır; paketler yakalanır, değiştirilir ve alıcıya gönderilir.

Veri bütünlüğüne karşı saldırı – Kullanıcı taklidi (Şekil 1-D)

Veri bütünlüğüne karşı yapılan saldırıların bir çeşidi de kullanıcının kimliğine bürünerek iletişim kurulmasıdır. Bu saldırı türünde kullanıcı başka bir kullanıcı ile iletişim halinde olduğunu düşünse bile aslında kötü niyetli üçüncü taraf ile temas halindedir.

Sistem ve veri erişilebilirliğine karşı saldırı (Şekil 1-D)

Temel olarak DoS (Denial of Service) türü saldırılardır. DoS saldırıları binlerce zombi bilgisayarın eşzamanlı yürüttüğü saldırılar olabileceği gibi güç veya Ethernet kablosunun sökülmesi gibi basit yöntemler de DoS saldırısı olarak sınıflandırılır. Hedef sisteme veya veriye erişimi engelleyecek her türlü girişim DoS saldırısıdır.

Sınavda çıkacak konular:

Saldırganın neyin peşinde olduğunu bilmek nasıl bir saldırı gelebileceğine dair bize fikir verebilir. Saldırıları kolaylıklarıyla da derecelendirmekte fayda var, örneğin trafiği satüre etmeye yönelik bir DDoS saldırısı trafik üzerinde kolayca görülecektir ve önlem almak mümkün olacaktır. “Man in the middle attack” gibi daha planlı ve sessiz saldırılar ise ancak IDS (Intrusion Detection System) veya firewall yardımıyla tespit edilip engellenebilir. Güvenlik 101 dersinin bir de sınavı olsa başlıca iki konusu olurdu; saldırganların temel olarak neler yapabileceğini bilmek ve bu saldırıların neden olabileceği sorunları anlamak. İstediğiniz sorudan başlayabilirsiniz.