Siber Ajan Olsam...

 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim

Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.

Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;

• -       Açık kaynak istihbarat birimi
• -       Sızma ve siber saldırılar birimi
• -       İç eğitimler birimi
• -       Zafiyet tespiti ve istismar geliştirme birimi
• -       Operasyon güvenliği birimi
• -       Sinyal ve görüntü işleme birimi
• -       Donanım birimi
• -       Saldırı tespit birimi

Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi

İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.

 Sızma ve Siber Saldırı Birimi

“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi

“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi

Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi

Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi

Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi

Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi

SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”

Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;

Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.

Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.

Robotların yarattığı tehlike

Mert Özkan Özcan’a fikir ve destek için teşekkür ederim

 Tehlikeli robot (temsili)

Robotların dünyayı ele geçirdiği “korkunçlu” senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.

Göreceğiniz gibi arama motorlarına açıkça “bu sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor. Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün değildir.

Sadece robots.txt dosyasına bakarak saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.

Örnek 1: Yetkili kullanıcı girişi tespiti

Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz. 

kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz. 

Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir. 

Örnek 2: Hedef sistem tespiti

Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz. 

Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.

Örnek 3: Güvenlik tedbiri ifşası

Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;

Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;

Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.

Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.

Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor. 

Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası

Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz. 

Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz

Laptopumu kaybettim hükümsüzdür

“Laptopumu açabildiğim her yer ofisim” söyleminin devamı olarak bazı kafelerin birçok ofisten fazla iş ürettiğine inanıyorum. 

Ankara’yı bilenler için bu “ofis kafelere” verilebilecek en iyi örnek şüphesiz Kafes Fırın’dır. Üniversite yıllarımda limonatası için gittiğim ve benziliğin içinde bir ufak bir kafe olan, şimdilerde ise iki görüşme arasında çalışmak için gittiğim Kafes Fırın kendini geliştirip her anlamda Ankara’nın gurur duyması gereken markalardan biri haline geldi. Ankara’ya iş için geldiyseniz ve vaktiniz olursa Eskişehir yolundaki Kafes Fırın’a mutlaka uğrayın. Ankara’daysanız ve şimdiye kadar gitmediyseniz de bu eksiğinizi hızlıca tamamlamanızı öneririm.

Hayır, burası kafe-yiyecek-içecek blogu olmadı. Mobil ofis konseptine girmişken keyifli bir ortamı ve lezzetli tatları paylaşmak istedim sadece.

Laptoplar ve tabletler sayesinde işimizi gittiğimiz her yere götürme imkanımızın olması bizlere çalışma alanı konusunda esneklik sağlarken beraberinde de bazı riskleri hayatımıza soktu. Bunların başında laptopumuzu kaybetmek veya çaldırmak geliyor. Belki ikinci planda laptopların, sıvı dökülmesi veya düşmesi sonucu fiziksel olarak hasar görmelerini sayabiliriz. Laptoplardan bahsederken aslında işimizi yapabilmemizi sağlayan bütün taşınabilir cihazlardan söz ediyorum, tabletlerimizi ve kurumsal e-posta alıp gönderdiğimiz akıllı telefonlarımızı da düşünmeliyiz.

Laptop kaybının gerçek değeri nedir?

 Kimimiz pahalı laptoplar kullanırken kimimiz ise şirketin verdiği, zor açılan ve zor kapanan eski laptoplar kullanıyor olabiliriz ancak yaşanacak bir çalınma veya kaybolma olayında kaybımızın cihazın etiket fiyatıyla sınırlı olmayacağını şüphesiz hepimiz biliyoruz. Aşağıdaki fotoğrafı bu Cumartesi günü Ankara’da çektim. Gördüğünüz gibi laptopun kendisinden çok içindeki verilerin derdine düşülmüş ve olayın yaşandığı sokakta pek çok noktaya bu yazı yapıştırılmış.

Araştırma kuruluşu Ponemon Institute tarafından 138 laptop kaybı olayı üzerinde yapılan bir araştırma sonucunda ortalama bir laptop kaybı olayının 50,000 A.B.D. Dolarına mal olduğu belirtilmektedir. Raporda bu değere yeni laptop bedeli, kaybolan veriler, konuyla ilgili yaşanan iş kaybı ve hatta yeni laptop kurulumu için harcanan bilgi işlem personeli zamanı gibi pek çok konuda görünen veya görünmeyen giderler hesaplanarak ulaşılmış. Laptopun kurumsal merdivenin hangi basamağında kullanıldığına göre bu değer azalabilir (orta kademe yöneticilerde ortalama 28,000 A.B.D. Doları) veya artabilir (üst kademe yöneticilerde ortalama 61,000 A.B.D. Doları).

Laptopunuzu nerede çaldırırsınız?

Sizin de ilk aklınıza gelen yerlerdir; araba, ofis dışında çalıştığımız ortamlarda veya havaalanı gibi seyahat sırasında bulunduğumuz yerlerde. Prey Labs tarafından yayınlanan bir blog yazısında ise araştırmalarına göre, laptopunuzu çaldırma ihtimalinizin en yüksek olduğu yerler şunlar;

Arabanız: Yukarıda paylaştığım yazıda tarif edilen olay. Hırsız araba camını kırıp laptopu veya laptopun içinde bulunduğu çantayı çalar. Düşündüğümüzün aksine AVM veya havaalanı gibi halka açık otoparklarda bıraktığımız arabalar güvende değildir ve bunun sonucunda arabanın içerisinde bıraktığımız şeyler de aynı oranda güvensizdir. Yeri gelmişken; arabanın bagajından laptop çaldıran arkadaşlarım oldu (ve hayır laptopu arabanın bagajına AVM’ye park ettikten sonra koymamışlardı).

Halka açık alanlar: İnsanların toplandığı, oturduğu, bulunduğu kalabalık yerler laptop hırsızlıklarının yaygın olarak görüldüğü yerlerdir. Bu alanlarda bir de kablosuz internet hizmeti de varsa, hırsızlar buradaki taşınabilir cihaz yoğunluğuna uygun olarak oranın fırsatlarla dolu olacağının farkındadır. Havaalanları veya otobüs terminalleri, genel olarak hırsızlıkların sık görüldüğü yerler oldukları gibi taşınabilir cihaz özelinde de hırsızlık faaliyetlerinin yoğun olduğu yerlerdir.

Ofisiniz: AVM otoparkında bıraktığınız arabanız gibi, ofisiniz de aslında güvenli bir ortam değildir. Bundan birkaç yıl önce, Ankara’da bir Bakanlık binasına “çiçek getirdik” bahanesiyle ellerinde çiçekle giren 2 kişi en üst kata çıkmış ve aşağı her katta bulabildikleri laptopları, cüzdanları, çantaları ve diğer kıymetli eşyaları “toplayarak” inmişlerdir. Çalışma ortamınız satış ofisi, devlet dairesi veya mağaza gibi “halka açık” ise buraların güvenli olmadığını bilmekte fayda var.

Hangi tedbirleri almalıyız?

Laptop hırsızlıklarına karşı alabileceğimiz tedbirleri fiziksel ve bilgi güvenliğine yönelik olarak 2 gruba ayırabiliriz. Fiziksel olarak alınacak tedbirlerin başında aklınızı kullanmak ve içgüdülerini dinlemek gibi zaten başka eşyalarınızın çalınmasını engellemek için uyguladığınız tedbirler gelir. Biraz daha somutlaştırmak ve akılda kalmasını sağlamak için laptopunuzun çalınmasını önlemek için iki basit benzetme yapabiliriz.

En geçerli kural “laptopunuza nakit para gibi davranın” olacaktır. Bir kafede çalışırken tuvalete gidecek veya kahvenize biraz daha şeker alacak olsanız ve masanızda 10 adet 200 TL banknot olsa tahmin ediyorum onları yanınıza alıp öyle kalkarsınız. Aynı kuralı laptopumuza uygulamanın sonsuz faydası olacaktır. En kötüsü, benim başıma sıkça gelir, garson “ kalkıyor musunuz?” diye sorar, siz de benim gibi “yok, sadece tuvalete gidiyorum” dersiniz. Utanılacak bir şey yok. Benim genelde uyguladığım kural fiziksel teması kesmemektir. Örneğin yemek yerken laptop çantada ve yanında olsa bile kolumla veya bacağımla sürekli temas halinde dururum (özellikle güvenlik konularında “normal” olduğumu hiç iddia etmedim, siz isterseniz daha rahat davranabilirsiniz tabii ki)

İkinci kural ise “1 saniye bile olsa gözünüzü laptopunuzdan ayırmayın olacaktır”. Hırsızlık olayları dakikalarca sürmez, 1 en fazla 2 saniye içerisinde olur biter. Bu nedenle bir arkadaşlar sohbet etmek için kalkmanız gerekse bile ya masadan uzaklaşmayın, ya da laptopunuz görebileceğiniz bir yerde ve laptopunuza sık sık bakarak konuşun. Bu noktada sadece laptopa odaklanmanın ötesinde etrafta kimlerin olduğuna ve nereye doğru hareket ettiklerine de bakmanız gerekir. Özellikle birisi laptopunuzla sizin aranızdan geçerken daha da dikkatli olmanız gerekir. Bir kaç kez bir arkadaşımla konuşurken “özür dilerim, laptopumu göremediğim için tedirgin oldum, şurada konuşalım mı?” dedim ve sohbete laptopumu görebileceğim bir noktada devam ettik - “normal” mi? Bu kelimeyi anladığımdan emin değilim? :)

Laptop kayıplarında asıl canımızı yakan bilgi kaybını engellemek içinse aşağıdakileri uygulamakta fayda var.

Parola kullanın

BIOS seviyesinde bir parola belirleyin. Evet, bunlar atlatılabiliyor ve sıfırlanabiliyor ama laptopumuzu bulan kişiyi uğraştırmak önemli. Böyle bir önlemle birlikte laptopun altında bulunacak “bulana ödül verilecektir, şikayetçi olunmayacaktır” türünde bir yazı (ödül rakamını yazmak daha cazip olabilir) bu noktada hırsızın laptopunuzu size getirmesini bile sağlayabilir. BIOS parolasına ek olarak işletim sistemine de ulaşmak için kullanıcı ve parola belirleyin.

Verilerinizi şifreleyin

Dosyalarınızı ve verileriniz şifrelemek hırsızı bir miktar uğraştıracağı ve verilerinizi üçüncü taraflarca erişilemez hale getireceği için mutlaka kullanılması gereken bir çözümdür. Hırsızı uğraştırmanın ne kadar etkili olacağı konusunda şüpheniz varsa, bu insanların çalışmak yerine en kolay yoldan para kazanmaya çalıştıklarını hatırlamanızda fayda var. Şifreyi çözmeye uğraşacak sabrı olsa zaten o işi yapmazdı herhalde.

Verilerinizi yedekleyin

Tamam, olan oldu her şey gitti. Şifrelediğimiz ve parola kullandığımız için büyük ölçüde içimiz rahat ama dosyalarımıza ihtiyacımız var. Bu noktada dosyalarımızı yedeklemiş olmamız hayatımızı çok kolaylaştırabilir. Düzenli olarak ve sık aralıklarla yedek almak veri kaybınızı azaltacak en etkili çözümdür. Yedekleme işlemini satınalacağınız bir harici disk kullanarak da yapabileceğiniz gibi bulut yedekleme hizmetlerinden birisinden de faydalanabilirsiniz.

Diğer konular
İnternet tarayıcılarınızın hatırladığı bütün parolaların hırsızlar tarafından ele geçirileceğini düşünün. Bu nedenle “beni hatırla” seçeneğini günlük hayatınızdan çıkartmanız (ki zaten en başında yeri yoktu) faydalı olacaktır. Her ihtimale karşı bir kayıp/çalıntı olayından sonra bütün parolalarınızı değiştirmenizde fayda var.

Laptopunuzda mümkün olduğunca az veri tutun. 3 yıl öncenin fiyat tekliflerine arada bir ihtiyacınız olabilir (yoksa zaten silin) bu durumda bu dosyaları ofiste bir sunucu üzerinde tutmak daha mantıklı olacaktır. Laptopunuz çalındığında üzerinde ne kadar az veri olursa olayın etkisi o kadar az olacaktır.

Kurumsal olarak ne yapılmalı?

Genel olarak çalışanların ve özellikle de iş için seyahat edenlerin hırsızlıklar konusunda farkındalığının artırılması için çalışmalar yapılmalıdır.

Laptop hırsızlıklarının olması durumda çalışan sorumluluğun biliniyor olması önemlidir. Sorumluluğun ne kadarı yüklenir, tazminat süreci nasıl olur gibi konularda karar yönetimin olacaktır benim bir yorum yapmam doğru olmaz. Çalışana hiç sorumluluk da yüklenmeyebilir, önemli olan bunun biliniyor olmasıdır.

Kuruma ait laptopların detaylı ve güncel envanterinin tutulması çok önemlidir.

İş gereği seyahat eden çalışanların harici disk kullanma kurallarının belirlenmiş olması önemlidir. Bu senaryoda harici diskler veri kaybını azaltacak bir çözüm olarak görülebilir.

Laptoplarda bulunan verilerin düzenli olarak yedeklenmesi için bir yapı kurulmalı ve kullanılmalıdır.

Laptoplar üzerinde kurumun logosu (isteğe bağlı olarak daha önce belirttiğim ödül ve iletişim bilgilerinin) silinemeyecek şekilde bulunmasında fayda vardır.

Kurum genelinde yapılacak bir “önemli bilgi envanteri” çalışması kapmasında veya laptop özellerinde hangi çalışanın laptopunda hangi verilerin bulunduğunun listesinin çıkartılması önemlidir. Laptopla birlikte gerçekten ne çalındığını ancak bu sayede takip edebiliriz.

Çalışanların çalıntı/kayıp olaylarını raporlayabileceği bir sürecin oluşturulması ve yürütülmesi önemlidir.

Moscow Rules for Cybersecurity

I believe I grew up on a different planet. "The world has changed" can only be an understatement. The world I grew up in was simpler and somewhat more elegant. For one thing the enemy was clear, the Russians. We were the good guys and they were the bad guys. We were blue, they were red. We were Rocky Balboa, they were Ivan Drago.

The world today is very different, the enemy is within, anyone we shared the bus or the subway with on our way to work yesterday can be the enemy.
Anyone can purchase a gun and kill innocents. Anyone can attack us. We have seen that even being a cartoonist in the most romantic city of the world doesn’t keep you safe from arm. The enemy is within and we should start thinking and acting accordingly.

This is not something new for us as this paranoid way of looking at things was already, and quite understandably, spreading amongst IT security professionals.
We, the guys trying to keep the IT infrastructure safe, know that the moment you connect something to the internet it is in hostile territory. We know that attacks start pouring in by dozens if not hundreds from all across the globe.

The “Moscow Rules” were never officially published but they seem like a reasonable set of behaviors that would help an operative stay alive in hostile territory. Looking at the way things have turned online I believe it’s a good time to remember these and adapt them to our approach to cyber security.

There are several “versions” of the Moscow Rules circulating on the internet and, unless Snowden has them in one of his files, I doubt we will ever have a confirmation on if these rules even ever existed. The International Spy Museum in Washington D.C. has published the following list as “Moscow Rules”. If you ever find the opportunity to visit this museum you can also see the Alienware laptop used by Th3j35t3r he used between 2010 and 2013 (http://www.jesterscourt.cc/2013/07/04/tinker-tailor-soldier-hacker/)

The “Moscow Rules” according to the International Spy Museum:
1. Assume nothing.
2. Never go against your gut.
3. Everyone is potentially under opposition control.
4. Don't look back; you are never completely alone.
5. Go with the flow, blend in.
6. Vary your pattern and stay within your cover.
7. Lull them into a sense of complacency.
8. Don't harass the opposition.
9. Pick the time and place for action.
10. Keep your options open.

Imminent Threat Solutions has also compiled a more comprehensive list of “Moscow Rules”, please visit http://www.itstactical.com/intellicom/tradecraft/the-moscow-rules-cold-war-directives-for-tradecraft-and-espionage/ and remember to stop by their shop for great gear.

The Cybersecurity Moscow Rules
Some of the rules on these lists would not only be applicable in the field of information security but would also form a good set of “rule of thumbs”. Here’s my "cybersecurity" take on the Moscow Rules.

1. Assume nothing.
Never assume your firewall is properly configured, never assume you have changed the default credentials on the new IPS/DS, never assume the users will notice that phishing mail, never assume everyone keep their passwords to themselves, never assume you didn’t leave a password hash on a server on the DMZ network. Assume nothing and check everything. Penetration tests or even simple checks you can conduct yourself will help you see all the false assumptions you have made.

2. Never go against your gut.
If something doesn’t feel right, there’s a chance it isn’t. I believe we don’t have the luxury to base our information security stance on “gut feelings” so I’ll suggest that you base your “gut” on trends and baselines. Know how much bandwidth you’re normally using so that you can notice when something is wrong. Know how, when and from where your network and systems can be accessed by legitimate users so that you can notice when something’s wrong. Gut feeling in information security should be data, collect it and use it.

3. Everyone is potentially under opposition control.
Think that any system on your network can be compromised, just like any user account. Plan your network topology and configure your security devices accordingly. By doing so you’ll be able to contain any malware epidemic and, if you are into that sort of thing, break the cyber kill chain because this will limit the movements of the attackers within your network.

4. Don't look back; you are never completely alone.
If you think no one attacked you, scanned your IP addresses or tried a SQL injection on your website you are wrong. It simply means you didn’t notice and worst you don’t have the necessary systems in place to notice such attacks. You should be able to identify these attempts so that you can identify a successful attack. You are never alone, if you think you are, it’s time to do something.

5. Go with the flow, blend in.
Blend in, to do so you must know what to blend to. Set up the basic requirements for all systems connected to your network and blend in. Make sure all computers have antivirus software and are updated regularly, make sure that not default user accounts are left on network and security equipment, make sure users use strong passwords and make sure everyone and everything “blends in”.

6. Vary your pattern and stay within your cover.
First have a pattern. Put in place several routine controls such as comparing the list of published vulnerabilities to your systems inventory. Regularly check shared files on your network, control bandwidth usage and create a routine for all security controls. Once you have put in place your “cover” vary the frequency and intensity of these controls.

7. Lull them into a sense of complacency.
Complacency is dangerous enough for everyone but can be deadly for people working in the field of information security. Not only you but every computer user and every personnel should be alert and careful. Hackers rarely attack your firewall directly, instead they attack users trying to convince them into clicking a link or downloading a file. Complacency amongst employees in any Department of the company or even just a single person can result in a company wide security breach. Make sure all employees are alert and cautious.

8. Don't harass the opposition.
Probably the most difficult part of our jobs. We need to make sure everyone can benefit from technology thus increasing the productivity of the company. We should take all precautions yet enable employees to work effectively.

9. Pick the time and place for action.
Collect logs so that you can pick (up) the time and place of all critical actions (events). Know when the failed login attempts happened, know that the back up process was finished successfully at 02:00 hours, know that the credentials of a terminated employee have been used to access a database. Prepare a list of critical SANS Institute have published a list of 6 critical log areas (http://www.sans.edu/research/security-laboratory/article/6toplogs) , you can use it as a guideline for actions to pick up.

10. Keep your options open.
Contingency plans are your friend. Be sure to backup and update regularly.

Remember; the Internet is hostile territory and act accordingly. The enemy is everywhere and, yes, they are after you.