Kurumsal Espiyonaj ● Evren Yalçın ● Bilgi Güvenliği Araştırmacısı @SignalSec
Jun 09, 2015
Kurumsal Espiyonaj
● Evren Yalçın● Bilgi Güvenliği Araştırmacısı @SignalSec
Kurumsal Espiyonaj
Büyüyen küresel ekonomiyle beraber rekabet ortamının oluşması, kurumların istihbarat toplama yarışına girmesine sebep olmuştur. Yeni nesil teknolojilerle beraber artan sofistike saldırılar, bilginin en değerli meta olduğu dünyamızda bilgi güvenliğini artık bir lüks olmaktan çıkarıp gereklilik haline getirmiştir. Bu koşullardan dolayı “kurumsal casusluk” günümüzde her sektörün üzerine eğilmesi gerektiği çok önemli bir konudur.
Bilgi güvenliği
● Bilgi Güvenliği:
- Güvenlik servisleri
- Güvenlik saldırıları
- Güvenlik düzenekleri
- Risk yönetimi
Güvenlik Servisleri
● Gizlilik● Kimlik doğrulama● Bütünlük● Tekrar edilememe● Erişim denetimi● Kullanılırlık
Güvenlik saldırıları
● Bilgi güvenliğinin devre dışı kalma durumu
Güvenlik düzenekleri
● Saldırıları saptama, engelleme ve saldırı etkilerinden kurtulmayı sağlayan düzenekler.
Risk yönetimi
● İstenmeyen bir durumun olma olasılığının hesaplanması ve önlemler alınması
Benzer diyaloglar
● En hızlı şekilde bu yazılımı çıkarmamız lazım. ● Çalışıyor mu, dokunma!● Güvenlik lükstür.
Yazılım Güvenliği
● Yazılım geliştirme süreci
- Analiz
- Tasarım
- Geliştirme
- Test
- Dağıtım
Sorunlar
● Maddi kayıp ● Güven kaybı● Kişisel bilgilerin kaybı
Sorunlar
Sorunlar
● IEEE(Elektrik ve Elektronik Mühendisleri Enstitüsü):
-100k kullanıcı adı ve şifre(Plaintext)
-Public ftp
Yazılımcılar ve konfor alanı
● Konfor alanı; düzeninizi bozmadan, minimum eforla ortalama performans göstererek yaşadığınız ve risk almaktan kaçındığınız alandır.
Yazılımcılar ve konfor alanı
● Spagetti kod● Konfor alanı● Anonymous● Frameworks● Konfor alanı● Anonymous● Frameworks ve güvenli kod yazma● Konfor alanı?
Spagetti Kod
● Yazılım geliştirme böyle başladı.
Don’t spaghetti code. Think of the children.
Spagetti kod
● Her şey bir dosyada● Kötü adlandırma● Tutarsız kodlama stili● Arayüz ile uygulama arasında fark yok● Dökümantasyon yok● Bellek yönetimi, performans, ölçeklenebilirlik,
yeniden kullanılabilirlik ● Doğrulama ve birim test eksikliği
Günü kurtardık!
Anti-spagetti kod
● Konfor alanınızın dışına her çıktığınızda konfor alanınızın sınırları genişleyecektir.
OOP
● Hızlı bir şekilde:
- encapsulation(sarmalama)
- polymorphism(çok biçimlilik)
- inheritance(kalıtım)
- Soyutlama
MVC
● Sistemin çalışmasını sağlayan mantıksal kodları birbirinden ayırarak temiz ve düzenli kod yazımını kolaylaştırır.
● Kodlarda daha kolay optimizasyon yapılmasına, genişletilmesine ve yeniden kullanılmasına olanak sağlar.
● Ekip olarak çalışılan projelerde görev paylaşımını ve kodların okunabilirliğini arttırarak takım çalışmasına olanak sağlar.
● Kullanıcı arayüzünde yapılacak değişiklikler iş mantığı kısmından bağımsız olarak yapılabilir.
● Hata ayıklamayı ve kodu test etmeyi kolaylaştırır.
Framework + Güvenli kod
● Doğru kullanım.● Sırtını frameworklere dayamamak.● Güvenlik != Framework
Symfony2
● Symfony2 Framework● Etkilenen sürümler : 2.0.x - 2.0.10
– POC :
CodeIgniter
● CodeIgniter Framework● Etkilenen sürümler : CodeIgniter <= 2.1.1● Xss_clean() fonksiyonu güvensiz.
<img/src=">" onerror=alert(1)>
<button/a=">" autofocus onfocus=alert(1(></button>
<button a=">" autofocus onfocus=alert(1(>
Konfor alanından çıkın!
● Yönetilen değil yöneten, tüketen değil üreten, izleyen değil izlenen olmak için konfor alanınızın dışına çıkmaktan korkmayın asla!
● Walsh‘ın dediği gibi; hayat konfor alanınızın ötesinde başlar…
Saldırgan Güvenlik Teknolojileri
● Web Application Firewalls (WAFs) ve Intrusion Detection/Prevention Systems (IDS/IPS)
● Frameworks
güvendeyiz!
Saldırgan Güvenlik Teknolojileri
● Sofistike zararlı yazılımlar● Ddos => Stuxnet● Ağ güvenliği != Siber güvenlik
Saldırgan Güvenlik Teknolojileri
● Güvendeyiz çünkü hala hacklenmedik!
Saldırgan Güvenlik Teknolojileri
● Google Hacking Database(GHDB) büyüyor:
Saldırgan Güvenlik Teknolojileri
● Google Hacking Database(GHDB)
Saldırgan Güvenlik Teknolojileri
● Pastebin Leaks
Kolay şifreler/Default şifreler
Saldırgan Güvenlik Teknolojileri
● Google Hacking:
Saldırgan Güvenlik Teknolojileri
● Yeni koruma alanı oluşturmak:
- Google Reader
- Google Alerts
Saldırgan Güvenlik Teknolojileri
Saldırgan Güvenlik Teknolojileri
● Saldırı Yüzeyi değişmeye başladı :
- Mobil(Android cihazlar)
- Client-side(html5)
- Browser Exploitation
Saldırgan Güvenlik Teknolojileri
● New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7
Saldırgan Güvenlik Teknolojileri
● Güvenlik bültenlerini takipte kalın
Yeni nesil saldırı teknolojileri
● Javascript obfuscation
- Basit Xss
- eval(), Function(), document.write(), document.cookie(), alert()
Yeni nesil saldırı teknolojileri
● Javascript obfuscation
- Xss(non-alphanumeric)
Yeni nesil saldırı teknolojileri
● Javascript obfuscation (hieroglyhphy)
- eval("aler"+(!![]+[])[+[]])("xss")
Yeni nesil saldırı teknolojileri
http://pastie.org/private/nkryfy49l1oy8hvblh90q
Yeni nesil saldırı teknolojileri
Jsfuck.com
Yeni nesil saldırı teknolojileri
● Html5
- Tamamlanmadı. Hedef: 2022
- Html5test.com (Browserlarınızı test edin)
- Yeni elementler, özellikler, Multimedia, Grafik, Client-side Storage, drag/drop, Web messaging, CORS, Web sockets
Yeni nesil saldırı teknolojileri
● Html5
- Form bilgilerini çalmak
- Focus ve tuş hareketlerini çalmak
- Form/history bilgilerini çalmak
- Web-storage, UI redressing, Cross-origin saldırıları
ve fazlası...
Örnekler
● Facebook CSRF
- POST request
- fb_dtsg ve perms = CSRF token
- uygulamadan tokeni çıkarınca çalışıyor.
Örnekler
Örnekler
● Google Wallet Csrf
- Test edilen browser : Firefox 3.6
- Vulnerable url :
https://wallet.google.com/buyerSignup?continue=https://wallet.google.com/manage/bootstrap.html?u%3Dhttps%253A%252F%252Fwallet.google.com%252Fmanage%26pli%3D1&hsk=1&pli=1&s7e=creditcard.cardNumber:n;creditcard.cvv:n&coc=IN
Örnekler