Showing posts with label hacker. Show all posts
Showing posts with label hacker. Show all posts

Thursday, August 20, 2015

Siber Ajan Olsam...


 FBI’ın “siber ajan” adıyla yeni nesil ajanlar alacağının haberleri çıktı. Bu ajanların, siber uzayda araştırma/soruşturma gibi faaliyetleri yürüterek, FBI’yı 2015 yılının gerçeklerine biraz daha yaklaştırmayı hedefledikleri ortada.

Ben Ajanken (temsili)

Bu haber üzerine biraz düşündüm ve fantezi olarak “siber ajan olsam...” dedim kendi kendime, “...bunları yapardım” diyerek başladım, iş biraz büyüdü ve “siber istihbarat ajansı kursam...” boyutuna vardı. Buyursunlar efendim; 2015 yılında “Siber MİT” veya “Siber İstihbarat Teşkilatı” (SİT) kuracaklara naçizane önerilerim.

Siber uzayı hava, kara, deniz ve uzaydan sonra beşinci savaş alanı olarak tanımlayanlar var, bana kalırsa da beşinci savaş alanı ama, kişisel görüşüm, dördüncü savaş alanının uzay değil, ekonomi olduğu yönündedir. Siber istihbarat işi yapacaksak, öncelikle düşman unsurları tespit edip, takip edip ve gerektiğinde müdahale edecek yeteneklere sahip olmalıyız. İsrail istihbarat birimleri konusunda biraz araştırma yapmış olanlar tanıdık bazı noktalara rastlayabilirler, tabii ki tesadüf değil. Amerika’yı yeniden keşfetmeye gerek olmadığını düşündüğüm için, bu konuda iyi örnekler arasında gösterilen İsrail’in istihbarat yapısından bazı öğeleri yorumladım.

Çatı birim
Siber uzayda her saniye bir gelişme oluyor, bunların arasından önemli ve raporlanması gerekenleri derleyecek ve “SİT” dışındaki paydaşlara bu bilgileri iletecek, bir çeşit arayüz görevi görecek birim.
Saldırılar, duyumlar, gelişmeler, yeni çıkan zafiyetler, siber casusluk ve açık kaynak istihbarat faaliyetleri sonucunda elde edilen bilgiler, önem ve yetki seviyesine göre diğer istihbarat birimleri, bakanlıklar ve özel şirketlerle paylaşılır. Özel şirketlere iletilecek bilgiler uluslararası alanda rekabetçi güçlerini arttıracak nitelikte olacaktır.

Çatı Birimi altındaki yapı çeşitli görevleri yürütecek şekilde bölünecek, ana konular;
  • -       Açık kaynak istihbarat birimi
  • -       Sızma ve siber saldırılar birimi
  • -       İç eğitimler birimi
  • -       Zafiyet tespiti ve istismar geliştirme birimi
  • -       Operasyon güvenliği birimi
  • -       Sinyal ve görüntü işleme birimi
  • -       Donanım birimi
  • -       Saldırı tespit birimi


Birimlerin işlerine kısaca ele alalım

Açık Kaynak İstihbarat Birimi
İnternete açık kaynakları kullanarak bilgi toplayacak birimin amacı iz bırakmadan ve “saldırgan” olarak yorumlanabilecek davranışlarda bulunmadan (port taraması, zafiyet taraması vs. yapmadan) bilgi toplamaktır. Sosyal medya üzerinden derlenecek bilgiler de bu birim tarafından anlamlandırılacaktır. Google aramasıyla ne bulunur ki? demeyin, aşağıda basit bir örnek verdim. Bir ödeme sistemi altyapısının kullanıcı kılavuzuna sadece arama motoru ile ulaştım, gördüğünüz gibi, hem “gizli” hem de “izinsiz dağıtılamaz” ibareleri var.


 Sızma ve Siber Saldırı Birimi
“Devletin Hackerları” burada çalışacak. Bu birimin amacı sıkça duyduğumuz APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) saldırılarını planlamak ve düzenlemek olmalı. “Dost” olarak niteleyemeyeceğimiz ülkelerin iletişim altyapılarından ve kamu kurumlarından düzenli olarak bilgi sızdıracak ve gerektiğinde sabotaj eylemi yapabilecek şekilde “sürekli saldırı” yaklaşımı ile çalışmalıdır.

İç Eğitimler Birimi
“Eğitim Şart”. Diğer birimlerin bilgi ve teknoloji olarak güncel olmasını sağlamak ve “Zafiyet Tespit ve İstismar Geliştirme Birimi” tarafından oluşturulan saldırı senaryolarının kullanılmasını sağlamak amacıyla sürekli eğitim verecek birimdir.

Zafiyet Tespit ve İstismar Geliştirme Birimi
Saldırı Biriminin işini anti-virüs yazılımlarına yakalanmadan ve devamlı olarak yapabilmesi için sıfır gün (0-day) açıklarını tespit edip, bunlardan faydalanabilecek istismar kodlarını geliştirecek birim.

Operasyon Güvenliği Birimi
Amerikalıların “OPSEC” (Operations Security) olarak adlandırdığı görevleri üstlenecek birim. Düşman unsurların “SİT” hakkında elde edebilecekleri bilgileri derleyen ve bunlardan nasıl faydalanabileceklerini düşünen birim. Siber istihbarat yapısının görünmez kalması önemlidir.

Sinyal ve Görüntü İşleme Birimi
Telsiz, radyo veya radar gibi internet dışında kalan iletişim kanallarının takip edilip buradan bilgi toplanmasının yanında diğer birimlerce elde edilen görüntülerde metadata veya gölge/yansıma gibi konularda analizler yaparak bunlardan bilgi çıkartacak birimdir.

Donanım Birimi
Donanımsal Truva atları veya ortam dinleme dronelarından telefonlarının içine Semtex veya PVV-5A yerleştirmeye kadar geniş bir yelpazedeki işlerde donanım “hacking” becerilerine sahip bir ekibe ihtiyaç olacak.

Saldırı Tespit Birimi
SİT kurulduktan sonra sürekli saldırı altında olmayacağını düşünmek saflık olur. Bu  nedenle genel yapının ve birimler arasındaki iletişimin güvenliğini sağlamak amacıyla bir Birim kurulması da gerekecek.

FBI tarafından verilen ilanda temel kriterler dışında pek bilgi yok ama önemli bir cümle var: “Temel değişmiyor: ‘Kötü adamları/kişiyi/kurumu/örgütü engellemek’”
Siber istihbarat konusunun sadece devletleri ilgilendirdiğini düşünmek yanlış olur. 2015 yılında, iş süreçlerimizin internete ve teknolojiye giderek daha bağlı hale gelmesi nedeniyle kuruluşlar da kendi “siber cephelerinde” savaşmak zorunda kalıyor.

KOBİ Siber İstihbarat Teşkilatı

Kabul ediyorum, yukarıda tarif ettiğim kadar geniş bir yapı olmayacak ama bugün KOBİ’lerden Bankalara, Bakanlıklardan Derneklere, internet üzerinde hizmet veya mal alan veya satan her kuruluşun temel düzeyde bir “istihbarat” becerisine sahip olması gerekmektedir.

Bu kapsamda ihtiyaç duyulacak becerilerden bazıları şunlardır;
Siber Olay Tespit Kabiliyeti: Belli aralıklarla yayınlanan araştırma sonuçları hala olay tespitinde yeterince hızlı davranamadığımızı gösteriyor. Ağınızda birilerinin varlığını tespit etmek veya veritabanınızın sızdırıldığını fark etmek  ve bunlarla ilgili zamanında ve doğru süreçler işletebilmek önemli. Bu nedenle saldırıları ve olayları tespit edecek bir yapı kurulmalıdır.

Zafiyet taraması: Açık kaynaklı veya ticari olarak satılan zafiyet tarama araçlarını kullanarak belirli aralıklarla sistem ve ağınızı zafiyetlere karşı taramak, en azından basit, saldırılara karşı tedbir almanıza imkan verir.

Pasif zafiyet taraması: Kuruluş envanterinizde bulunan donanım ve yazılımlarla ilgili yayınlanan zafiyetleri takip edip, bunlar için gerekli tedbirleri almak önemlidir. Çoğu saldırının zafiyetler yayınlandıktan sonra ile güncellemenin yapılması arasında geçen sürede en etkili olduğunu düşünürsek bu çalışma risk seviyenizi düzenli olarak belli bir seviyenin altında tutmanızı sağlar.


Komşularla ilişkiler: İstenmeyen e-postaların hangi IP bloğundan geldiği, web sunucusunu paylaştığınız diğer şirketlerden birinin sayfasının hacklenip hacklenmediği, mail adreslerinizin karalistelerden birine girip girmediği gibi temel göstergeleri takip ederek siberuzayda sizi ilgilendiren gelişmeleri takip etmekte fayda var.
at 1 comment:
Labels: , , , , , , , , , ,

Monday, August 17, 2015

Robotların yarattığı tehlike


Mert Özkan Özcan’a fikir ve destek için teşekkür ederim

 Tehlikeli robot (temsili)

Robotların dünyayı ele geçirdiği “korkunçlu” senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.

Göreceğiniz gibi arama motorlarına açıkça “bu sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor. Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün değildir.


Sadece robots.txt dosyasına bakarak saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.

Örnek 1: Yetkili kullanıcı girişi tespiti
Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz. 

kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz. 


Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir. 

Örnek 2: Hedef sistem tespiti
Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz. 

Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.


Örnek 3: Güvenlik tedbiri ifşası
Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;
Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;
Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.

Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.
Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor. 

Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası
Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz. 

Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz








at No comments:
Labels: , , , , , , , , , , , ,

Thursday, August 13, 2015

Webcam Adlı Kısa Filmde Bir Siber Suçlu Kurbanını Ele Geçiriyor…

“Webcam” adlı kısa film; bir siber suçlunun kurbanını ele geçirdiği laptopun kamerası üzerinden izlemesiyle başlıyor ve çok da “sürpriz” sayılamayacak bir sonla bitiyor.
Bilgi güvenliği konusunda yaptığım uyarılar, ne yazık ki, bazen “bilgisayarımda zaten önemli bir bilgi yok”, “benim ders notlarımı kim ne yapsın?” veya “Skype konuşmalarımı dinleyecekler de ne olacak?” gibi tepkilerle karşılanıyor. İş için kullandığımız bilgisayarları neden güvende tutmamız gerektiği konusunda sanıyorum kimsenin bir şüphesi yoktur, ancak kişisel bilgisayarlarımızın güvenliğini doğrudan birinin etkileyebileceğini unuttuğumuz için bu sistemlerin güvenliğinin ne kadar önemli olduğunu gözden kaçırmak mümkün olabilir.

Her şeyden önce evde kullandığımız bilgisayarlar, laptoplar ve tabletlerin güvenliği siber suçlulara evimize ve hayatımıza bir pencere açabileceği için önemlidir. Eve kaçta geliyoruz? İşe kaçta gidiyoruz? hangi sitelerde geziyoruz? Sosyal paylaşım sitelerindeki kullanıcı bilgilerimiz ve parolalarımız neler? Özel yazışmalarımızın içeriği nedir? Evde yalnız mı yaşıyoruz? Çocuğumuz hangi  konuda ödev yapıyor? Tatile nereye gittik? Kimlerle fotoğraf çektirdik? Kredi kartı numaramız nedir? Gibi bilgisayar üzerinde tuttuğumuz bütün kişisel verilerimiz, bilgisayarımıza sızan bir siber saldırgan tarafından ele geçirilebilir. Bunlardan çok daha tehlikeli olan bir şey ise kamera ve mikrofon üzerinden siber suçluların sizi ve evinizi, bilgisayarınız açık olduğu sürece aralıksız izleyebilecek bir yapı kurmalarının mümkün olmasıdır.
Evde kullandığımız bilgisayarları güvende tutmak ve bu sayede kendimizin ve sevdiklerimizin güvenliğini ve mahremiyetini korumak için aşağıdaki ipuçlarını dikkate almakta fayda var.
1.Antivirüs kullanınBundan kaçışımız ne yazık ki yok. Apple Macbooklarınızda, Windows bilgisayarlarınızda veya Android tablet ve telefonlarınızda mutlaka antivirüs yüklü olmalıdır. Rakamlar korkunç, günde 70 ila 80 BİN (yetmiş bin, rakam ile 70,000) yeni zararlı yazılım sürümünün görüldüğüne dair raporlar var. Bu kadar yeni zararlı yazılım 7/24 aralıksız olarak bulaşacak yeni sistemler arıyor ve, buluyorlar da. Yukarıda saydığım işletim sistemlerinin tamamı için ücretli ve ücretsiz antivirüs yazılımları mevcuttur, bunlardan size en uygun olanını indirip kurmanızı öneririm.
2.Kullanmadığınız/bilmediğiniz yazılımları ve uygulamaları kaldırınBilgisayarınızda veya tabletinizde tam olarak ne işe yaradığını bilmediğiniz veya kullanmadığınız uygulamalar varsa bunlardan kurtulabilirsiniz. Bu sayede bu uygulamalara bulaşacak bir zararlı yazılım veya bu yazımlardaki güvenlik zafiyetlerini istismar ederek sisteme sızacak bir siber suçlu riskini ortadan kaldırmış olursunuz.
3.İşletim sisteminizi güncelleyinMac OS, Windows, iOS veya Android, ne olduğunun bir önemi yok, işletim sistemlerinin üreticileri düzenli olarak güncellemeler çıkartır. Güncellemelerin bir bölümü işlevsellik veya mevcut sorunları ortadan kaldırmaya yöneliktir ancak önemli bir kısmı tespit edilmiş güvenlik zafiyetlerinin kapatılmasını amaçlamaktadır. Siber suçluların bu güncellemeleri yakından takip ettiklerini biliyoruz. Her güncelleme ile birlikte üreticilerin yayınladığı “X bileşeninde bulunan y zafiyeti kapatılmıştır” türü notlar suçluların dünyasında neredeyse altın değerindedir, bu bilgiler doğrultusunda bir önceki sürümde (veya güncelleme öncesi durumda) var olan güvenlik zafiyetlerine yönelik istismar teknikleri geliştirirler Her hangi bir güncellemeyi çıkar çıkmaz uygulamak işletim sisteminizi güvende tutmanızı sağlar.
4. Ziyaret ettiğiniz sitelere dikkat edinSadece oyun ve pornografik içerikli sitelerin değil, “normal” görünen sitelerin de zararlı yazılım dağıtmak için kullanıldığını pek çok olayda gördük. Siber suçluların popüler sitelere reklam verip, daha sonra reklam içeriğini değiştirip buralarda da zararlı yazılım dağıttığı olaylarda da artış gözlemlenmektedir. Bu nedenle ziyaret ettiğiniz sitenin ne olduğuna dikkat etmekte fayda var. Örneğin Facebook gibi görünen bir site pekala siber suçlular tarafından hazırlanmış bir tuzak olabilir. Adres çubuğuna ve bulunduğunuz siteye nasıl geldiğinizi düşünün. Bankanızdan gelen bir e-postadaki bağlantıya mı tıkladığınız? Tanımadığınız birinin Facebook’tan gönderdiği mesajdaki bağlantıyı tıkladınız ve Facebook sizden tekrar giriş yapmanızı mı istedi? Bu iki örnek üzerinde sayısız senaryo türetilebilir
5.Tahmin etmesi zor parolalar kullanınİnternet bankacılığından sosyal paylaşım sitelerine kadar pek çok yerde parola hem kişisel bilgilerinizi hem de kimliğinizi korur, bu nedenle tahmin edilmesi zor olması çok önemlidir. Küçük/büyük harf, sayı ve özel karakterlerden oluşan ve sözlükte bulunmayan bir dizilim olması çok önemlidir. Her site için farklı bir parola kullanmak ve parolalarınızı sık sık değiştirmek parolanızın güvenlik seviyesini artıracak ek tedbirlerdir
6.Tarayıcınızı güncel tutunSiber suçluların ve zararlı yazılımların sistemlerinizle ilk temas kurduğu yer çoğu zaman tarayıcınızdır (Chrome, Firefox, Explorer, Safari, Opera, vb.). Tarayıcınızda bulunan güvenlik zafiyetlerini istismar etmek için e-posta mesajlarından internet sayfalarına kadar geniş bir yelpazede saldırı vektörleri kullanılmaktadır. İşletim sistemlerinde olduğu gibi tarayıcınızın güncel olması sizi yaygın olarak bilinen pek çok güvenlik zafiyetinin istismar edilmesinden korur.
7.Farklı “işlere” farklı tarayıcılar kullanınTarayıcınızın ele geçirilmiş olması ihtimaline veya durumuna karşılık bankacılık ve online alışveriş gibi hassas bilgileri paylaştığınız işlemleri bir tarayıcıda, günlük internet kullanımınızı başka bir tarayıcı kullanarak yapmanızda fayda olabilir. Her iki tarayıcı da güncel tutarak kendinize ek bir güvenlik katmanı oluşturabilirsiniz.
8.Ortak kablosuz ağlara güvenmeyinEvde kullandığınız bir laptop veya tablet ile halka açık bir kablosuz ağı (Wi-Fi) kullanırken dikkatli olun. Mümkün olduğunca şifresiz bağlanılan kablosuz ağları kullanmayın ve, şifreli bile olsa, ortak bir kablosuz ağ üzerinden bankacılık işlemleri veya e-postalarınızı kontrol etmek gibi hassas işlemleri yapmamanızda fayda var.
9.Korsan yazılımlardan uzak durunİşletim sistemi, tasarım programı veya ofis yazılımı olabilir, korsan yazılım kullanıyorsanız siber suçluları ve zararlı yazılımları bilerek ve isteyerek sisteminize davet ediyorsunuz. Çoğu korsan yazılım yüklendikleri bilgisayarı veya tableti ele geçirmeyi amaçlayan siber suçlular tarafından hazırlanmakta ve yayılmaktadır. Korsan yazılımlar veya korsan olarak indirdiğiniz bir dizi bölümü veya film ile bilgisayarınıza erişmek için bir “arka kapı” açan siber suçlular bu kapıyı kullanarak hem kişisel olarak sizi hedef alırlar (bilgi ve mahremiyet kaybı) hem de sizin bilgisayarınızı ve internet bağlantınızı kullanarak başka sistemlere saldırırlar. Yeterince tehdit varken korsan yazılım ile “bile bile lades” yapmaya gerek olmadığını düşündüğümden, korsan yazılımdan uzak durulmasını şiddetle tavsiye ederim.
10.E-posta eklerine dikkat edinZararlı yazılımların e-postalarda ek veya bağlantı olarak gönderilmesi çok yaygın olarak görülen bir durumdur. Bu saldırılar özel olarak sizi (veya çalıştığınız yeri) hedef alabileceği gibi geniş çaplı “kampanyalar” kapsamında rastgele türetilen e-posta adreslerine gönderilmektedir. E-postanın kimden geldiğine (gerçek adres görünen isimden farklı olabilir), size mi gönderildiğine (BCC gibi gizli kopya olarak mı eklenmişsiniz?), ekinde nasıl bir dosya olduğuna (genel olarak .txt uzantılı dosyalar dışındaki bütün dosya türleri zararlı yazılım bulaştırmak için kullanılabilmektedir) gibi teknik ayrıntılara baktıktan sonra durup gelen e-postanın “mantığını” değerlendirmekte fayda var. Tanımadığınız biri size “define haritası” veya “fotoğraflarını” mı göndermiş? Beklediğiniz bir e-posta mı? Telefon hizmeti aldığınız firma size faturaları e-posta yoluyla mı gönderiyor? İnternet hizmeti aldığınız firmanın e-faturaları normalde .zip uzantılı mı geliyor? Bu bağlantıya tıklamam için merakımı uyandırmaya mı çalışıyorlar? Bu bağlantıya hemen tıklamazsam “önemli bir fırsatı” mı kaçıracağımı söylüyorlar? Benzeri soruları kendinize sormakta fayda var.
at 1 comment:
Labels: , , , , , ,

Sunday, January 25, 2015

Saldırı Ağacı

1998 yılında Salter tarafından ortaya atılan “Saldırı Ağacı” (ing: Attack Tree) fikri bir sistemin, çeşitli saldırılara karşı güvenliğinin, biçimsel ve metodolojik olarak ortaya konulmasını sağlamaktadır. Türkçe olarak ifade edersek, güvenliğini sağlamaya çalıştığım sisteme “kim ve nasıl saldırabilir?” sorusuna yanıt oluşturacak bir çalışmadır.


Kolay ve hızlı bir çözüm olması nedeniyle Türkiye’de genel olarak kabul gören zafiyet temelli güvenlik yaklaşımından farklı olarak saldırı ağacı veya STRIDE gibi yaklaşımlar kuruluşunuzun bilgi güvenliği seviyesine daha bütünsel bir bakış açısı sağlar.

Zafiyet temelli yaklaşım, kısaca, sistem üzerindeki güvenlik zafiyetlerinin tespit edilmesi (otomatik zafiyet tarama aracı, sızma testi, vb.) ve bunları ortadan kaldıracak veya istismar edilmesini engelleyen gerekli önlemlerin alınması olarak özetlenebilir. Daha Saldırı Ağacı ise sistemde tespit edebileceğimiz zafiyetlerden yola çıkarak güvenliği sağlamaya çalışmak yerine saldırganların amaçlarından yola çıkarak sistemin güvenliğini sağlamaya çalışmaktadır.

Yaklaşımların her ikisinin de eksik kaldığı yerler vardır şüphesiz ancak amacımızın sistemin güvenliğini sağlamak olduğunu düşünürsek sadece zafiyetlerden yola çıkarak tam bir sonuç elde etmemizin mümkün olamayacağı görüşündeyim.

Saldırı ağacını hazırlamak
Güvenliğini sağlamaya çalıştığımız sistem için bir saldırı ağacı hazırlamak için aşağıdaki adımları izleyebiliriz;
  • Ağacın köküne karar verin
  • Dalları belirleyin
  • Bütünlük açısından değerlendirin
  • Ağacı “budayın” (fazlalıkları atın)
  • Sunum


Ağacın kökü
Genel olarak ağacın kökünü saldırganın hedefi oluşturacaktır. Aşağıdaki basit örnekte ağacın kökünü oluşturan ve saldırganın hedefi olabilecek olay “ofisten laptop çalmak” olarak belirlenmiştir. (baştan söylemekte fayda olabilirdi tabii, saldırı ağacı ters duruyor). Görüldüğü gibi saldırganın amacına ulaşmak için kullanabileceği yöntemler belli bir akış içerisinde ortaya konmaktadır.



Dallar
Saldırı ağacının diğer bileşenlerini tespit etmek için “beyin fırtınası” yapılıp aklımıza gelenleri sırayla yazabiliriz. Bazı önemli noktaları gözden kaçırmamıza neden olabileceği için bu tavsiye edeceğim bir yöntem olmaz. Kök sebep ve alt bileşenler arasındaki geçiş VE veya VEYA anlamında olabilir. Yukarıdaki örnekte bağlantılar VEYA anlamındadır ve saldırganın kullanabileceği çeşitli yöntemler listelenmiştir. Bağlantıları VE olarak oluşturmak saldırganın birden fazla araca ihtiyaç duyacağı durumların ortaya konuşması için daha etkili olacaktır.
Alt bileşenleri ortaya çıkartmak için saldırganın amacından yola çıkıp ihtimal dahilinde olan her saldırı vektörünü listeleyip sonrasında bir alt kademeye geçmek daha uygun olacaktır.

Bütünlük değerlendirmesi
Ağacın ilk hali ortaya çıktıktan sonra her bileşeni “bu sonuca ulaşabilecek başka bir yol var mı?” sorusu ile tekrar değerlendirmek faydalı olacaktır. İlk çalışmadan gözden kaçabilecek bazı saldırı vektörleri de bu şekilde ortaya çıkar. Sonuçların yanında saldırı yöntemlerinin ve saldırganların da tekrar değerlendirilmesi gerekecektir. Bu sayede saldırı ağacını farklı bilgi ve beceri seviyesine sahip saldırganlara karşı da etkili hale getirme imkanımız olacaktır.

Ağacı budayın
Çalışma tamamlandıktan sonra dalları ele alıp bu saldırıya karşı bir önlem alındı mı? Bu saldırı veya sonuç başka bir dalda ele alınmış mı? Gibi soruların cevaplarını arayarak gereksiz veya tekrar eden durumlar çalışmadan çıkartılabilir.

Sunum
Ele aldığınız sistem ne olursa olsun saldırı ağacının bir sayfadan uzun olmamasında yarar var. Bu sayede, amacımız olan, saldırıları anlaşılır ve kolay algılanır şekilde göz önüne serme işini gerçekleştirmiş oluruz. Sayfalarca devam eden bir saldırı ağacı ile, saldırganın kök amacını göremeyeceğimiz için, etkin bir sonuç elde etmemiz zorlaşacaktır. Bu durumla karşılaşılması halinde çalışmayı daha küçük birimlere ayırıp aynı sistemin farklı bileşenleri için ayrı saldırı ağaçları hazırlanması daha iyi olacaktır.

Saldırı ağacının anlamlandırılması
Korumaya çalıştığımız sisteme karşı düzenlenebilecek saldırıları listelemek iyi bir çalışma olacaktır ancak tek başına savunmamızı nasıl tasarlamamız gerektiği konusunda bilgi veremez. Diyelim ki saldırı ağacımızı ortaya çıkarttık ve bu sene bilgi güvenliği için 100.000 TL bütçe ayırdık. Bu çalışma bize hangi yatırımları yapmamızın daha faydalı olacağı konusunda bilgi vermez. Güvenlik seviyemizi nasıl iyileştirmemiz gerektiği konusunda bir fikir edinebilmek için saldırı ağacına bazı değerler atamakta fayda var.

Saldırı ağacını anlamlandırmak için kullanılabilecek çeşitli yöntemler arasında, bu yaklaşımı bilgi güvenliği alanına 1999 yılında tanıtan Bruce Schneier’in ele aldıkları hala geçerliliklerini korur.
Saldırıların maliyetlerini kullanmak: Saldırıyı düzenlemek için saldırganın ihtiyaç duyacağı kaynaklar söz konusunu saldırın gerçekleşme ihtimalini etkileyecek bir unsurdur. Biraz önceki bütçemize dönersek 100.000TL ile gerçekleşme ihtimali düşük ve 300.000TL kaynak gerektirecek saldırılara karşı tedbir almaya çalışmak yerine, saldırı ağacında bulunan ve çok daha düşük maliyetli saldırılara karşı tedbir almak daha mantıklı olacaktır. Bu yaklaşımı etkin bir şekilde kullanabilmek için saldırgan profillemesinin dikkatlice ve detaylı olarak yapılması önemlidir. Saldırıyı düzenlemek için gerekli 300.000TL’lik yatırım sıradan saldırganlar için büyük bir tutarken, başka devletler için önemsiz ve kolayca harcanabilecek bir paradır.
Hedef sistem değerini kullanmak: Savunmayı korumaya çalıştığımız sistemlerin değerine göre belirlemek yatırımlarımızı en kıymetli varlıklarımızı koruyacak şekilde yapmamızı sağlar.

Bütüncül yaklaşımın önemi
Yukarıda gördüğümüz laptop çalma konusunu zafiyet taraması veya sızma testi yaklaşımıyla ele alırsak yapacağımız araştırma bize kapıdaki kilidin matkapla delinebileceğini gösterebilirdi (sarı olarak işaretlediğim kutu). Biz de buna karşılık matkapla delinmeyen veya delinde bile kapının açılmasına imkan vermeyen bir kilitle değiştirilmesini önerebilirdik. Bu durumda işimizi çok iyi yapmış ve zafiyeti ortaya çıkartmış olmamıza rağmen bütün olası saldırılar arasında sadece 1 tanesini ortaya çıkartmış oluruz.



Saldırı ağacı gibi bütüncül modeller bilgi güvenliği seviyemize daha geniş bir açıdan bakmamıza imkan verdiği için güvenlik seviyemizin durumu hakkında daha anlamlı bilgiler vermektedir.


Mart ayının sonuna kadar benimle temasa geçecek Kamu kurumları (Bakanlıklar, Askeri kurumlar, Emniyet Teşkilatı, Müsteşarlık ve Genel Müdürlükler) için ücretsiz olarak temel saldırı ağacı çalışmalarını yapacağım. Bu çalışmanın mevcut güvenlik seviyemizin bir röntgenini de çekmemize imkan sağlayacağı için faydalı olacağına inanıyorum. 
at 1 comment:
Labels: , , , , , , , , , , , ,
Subscribe to: Posts (Atom)

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...

  • TEMPEST Nedir?
    Elektromanyetik sinyal yayan cihazların güvenliğinin sağlanması için geliştirilmiş bir standarttır. “Telecommunications Electronics Mater...
  • APT Nedir?
    APT İngilizcesi Advanced Persistent Threat olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekil...
  • Siber Saldırganı Tanımak
    Bilgi güvenliği konusunda proaktif bir yaklaşım oluşturabilmek için düşmanı doğru tanımak çok önemlidir. Zafiyet yönetimi programı oluşturm...