Siber Güvenlikte Ofansif Yaklaşımlar · • Siber Güvenlik kapasiteleri –Ofansif çalışmalar –Siber Silah –Sızıntılara Karşı Ofansif Önlemler –Web site taramalarına

Siber Güvenlikte Ofansif Yaklaşımlar

Bâkır EMRE

Siber Güvenlik Konferansı 6 Kasım 2012 - Ankara

www.siberguvenlik.org.tr https://twitter.com/siberguvenlik

Giriş

• Defansif siber güvenlik? – 80ler Bilgi güvenliği kavramı – 90ların başı Güvenlik Duvarı – 90ların sonu Pentest – 00lerin ilk yarısı I[D|P]S – 00lerin ikinci yarısı Web uygulama güvenliği – 00lerin ikinci yarısı DLP,NAC

• Siber Güvenlik kapasiteleri – Ofansif çalışmalar – Siber Silah – Sızıntılara Karşı Ofansif Önlemler – Web site taramalarına Karşı Ofansif Önlemler

• Sonuç

80ler - Bilgi Güvenliği

80ler - Antivirus

Anti-Virus

• “We (the antivirus industry) failed on Flame” Mikko Hypponen

• 0-days

90lar - Güvenlik Duvarı

Güvenlik Duvarı

• TCP 443 -> ssh?

• UDP 53 -> RDP

• TCP 80 -> !http

90lar - Pentest

Açıklık bulunan sunucular Üretilen Rapor

00ler – I[D|P]S

I[D|P]S

• Throughput *

• Tespit Oranı? – False positive – False negative

*www.currentanalysis.com & www.tilera.com

Yeni Strateji

• Siber ortamda bulunan varlıkları koruma amaçlı

• Yeni stratejiler gerçeklemek gerekiyor!

• Daha Agresif daha ofansif

• Kimin, Neden saldırdığını bulmak gerekir

Siber Silah

• Stuxnet, öncesi ddos en önemli siber silah olarak görülüyordu!

• Eğer Uzaylılar yapmadı ise muhtemelen 2-3 şüphelisi var!

Siber Güvenlik Kapasitesi

• “Cyber Warfare: An Analysis of the Means and Motivations of Selected States”

Siber Güvenlik Kapasiteler

Siber Silah

• Siber füze!

Insansız Hava Aracı Hackleme

• Lockheed Martin RQ-170 Sentinel Kandehar yakınlarında düşürüldü.

• İran Yetkilileri GPS Spoofing kullanarak hava aracını güvenli bir şekilde indirdiklerini söylediler

Sızıntı

• Kamu kurumlarına ait gizli belgeler

• Özel şirketlere ait patentler, anlaşmalar çalışan/müşteri bilgileri

IP Takibi

• IP takibi

– Çalınan / Sızdırılan MS Word belgesini kimler nerede açmış!

Word ile IP İzleme

$ vi gizlidosya.doc

<html>

<body>

<h1> Gizli Dosya </h1>

<p>test</p>

<style type="text/css">@import url(http://www.abckurumu.gov.tr/iptrack/default.css);</style>

</body>

</html>

tail -f http-acces.log

83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "OPTIONS /iptrack/

HTTP/1.1" 200 8027 "-" "Microsoft Office Protocol Discovery«

83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "GET

/iptrack/default.css HTTP/1.1" 200 1362 "-" "Mozilla/4.0 (compatible;

MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727;

SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0;

.NET4.0C; InfoPath.3; .NET4.0E; ms-office; MSOffice 14)"

Anonimity

• Gerçek IP adresi ile erişsin!

• Public Proxy’ler ile erişimi yasak

• TOR ağı ile erişim yasak!

Anonimliği engelleyin!

https://github.com/lfamorim/barrelroll/tree/master/full_list

Sahte Yönetim Paneli Sayfası

• ABC kurumu Yönetim Paneli http://admin.abckurumu.gov.tr

http://yonetim.abckurumu.gov.tr

http://www.abckurumu.gov.tr/admin

http://www.abckurumu.gov.tr/yonetim

http://www.abckurumu.gov.tr/hattorihanzo

Sahte Yönetim Paneli

<?

if($_POST['username']) { sleep(10);

$filename = ”sazan.txt";

$date = date('l jS \ F Y h:i:s A');

$handle = fopen($filename,"a+");

$content = "Username: $_POST[username] , Password: $_POST[password] $date ... $_SERVER[REMOTE_ADDR] \n";

fwrite($handle,$content); fclose($handle); echo "<br/><b>Yanlış kullanıcı adı ya da parola. Lütfen yeniden deneyin</b><br/><br/>"; } ?>

Web Sunucu Başlık bilgisi

• “Troll”lük yapın!

• Web sunucu header bilgisini değiştirin!

User agent string

• Nikto, w3af, acunetix, netsparker vs.

• Teleport, ReGET,SiteSnagger, JetCar vs

Sahte sayfalarda dolaştırın

• Weblabyrinth

– Sahte site haritası oluşturur.

– Web açıklık tarayıcılarının sahte sayfalarda dolaşmasını sağlar

– Googlebot’lara bu site indexlenmesin denebilir.

weblabyrinth

Sonuç

• Defans şart ama yeterli değil!

• Uymamız gereken kurallar var – Onların yok!

• Siber Güvenlik Stratejisinde, Doktrinde ofansif yaklaşımlara yer verilmeli

• hack-back yasal mı? – Zararlı yazılımları herkesin ulaşabileceği şekilde

sisteminize koymayın

– Uyarın

Teşekkürler

Sorular?