Web Uygulama Güvenliği ve Kariyer

UYGULAMA GÜVENLIĞI VE GELECEK HAKKıNDA TAHMINLER TAHMINLERIN ÇOĞU ÇıKMAYABILIR

KIMIM BEN ?

• Caner Özden

• Matematik ve Bilgisayar Bilimleri

• Yazılım Uzmanı ve Bilgi Güvenliği Kıdemli Uzmanı

• Aselsan, Havelsan, BGA, Avea, TT Grup

• twitter.com/canerozden

SUNUMDA NELER VAR ?

• Uygulama güvenliği ne ola ki ?

• Neden uygulama güvenliği ? Trend mi yoksa ?

• Bu alanda ilerlersek çok para kazanılır mı ?

• Bordrolu, SGK’lı Hacker

• Gelecekte neler olur ?

TAHMINLER

• Hendy Ford ilk Ford araçlarını ürettiği zaman insanların sadece siyah ve tek

tip araç isteyeceğini iddaa ederek farklı model araç üretimini gerekli

görmemiştir.

• Televizyon en geç altı ay içinde piyasadan silinecektir. İnsanlar her akşam

böyle bir kutuya bakmak istemezler. Daryik F. Zanuck

• http://tr.wikiquote.org/wiki/Bilimsel_gaflar

• Tahminler sadece tahmindir, ayrıca hatasız kul olmaz.

UYGULAMA GÜVENLIĞI NEDIR ?

• Güvenliğin tanımı aksiyomatik, vakit kaybetmeye gerek yok, kabul edelim

herkes güvenlik ister. (En çok şirketler !)

• Güvenliğin Türleri

- Ağ Güvenliği

- Sistem Güvenliği

- Uygulama Güvenliği

İLK ZAMANLAR

• Ağ Güvenliği önemliydi, tam standartlar belirlenmiş değildi.

• Şirketlerde ağ kurulumu bile yeni idi.

• Bir musibet bin nasihattan iyidir. (Güvenlik zamanla anlaşılmaya başlandı)

UYGULAMA GÜVENLIĞI NEDIR ?

• Uygulama güvenliği, yazılımların kod seviyesinde yapılan hatalardan dolayı,

bilgi sızdırılması veya sistemlerin ele geçirilmesi ile sonuçlanan olayları

inceleyen bilim dalı, ilgi alanı.

UYGULAMALARDAKI HATALAR

• Yazılım geliştiricilerin gerçekleştirmesi gereken çok fazla görev var.

• Fonksiyonellik

• Hatasız çalışma

• Kullanım kolaylığı

• Zaman kısıtı

DEADLINE GELİŞTİRİCİNİN DÜŞMANI

• Saldırganlar yazılımcıların yaptıkları yazılımsal hatalardan yararlanırlar.

• Zaman kısıtı altında ve standartlara uygun geliştirilmeyen yazılımlar

• Sürekli iş değiştiren yazılımcılar

• Kodlar bir zaman sonra karışıyor (Spagetti kod)

NE TIP HATALAR

• Şüpheci Yaklaşım

• Doğrulama Eğilimi

• Akışkan ve saydam bir sıvının su olma öngörüsü

• Userid değişkeninin integer alma öngörüsü

NE TIP HATALAR

• Girdi Denetimi -> En önemlisi

• İş mantığındaki hatalar

HATA VE BILGI MESAJLARINDAN FAYDALANMAK

OWASP

• Open Web Application Security Project

• Web uygulamalarının güvenliği ile ilgilenen bir kuruluş, kar amacı gütmez.

• Her sene en çok çıkan 10 zafiyet türünü belirleyip, konu hakkında yayınlar

çıkarır.

HATALARI ÖNCEDEN BELIRLEMEK

• Uygulama güvenlik uzmanlarının en temel görevlerinden biri, geliştirilmiş ve

canlı ortama çıkmak üzere hazırlanmış uygulamaları güvenlik açısından

inceleyerek bu hata durumlarını raporlayıp, düzeltilmesine yardımcı olmaktır.

HATALAR NASIL BELIRLENIR

• Tehdit Modelleme

• Kaynak Kod Analizi

• Uygulama Zafiyet Testi (Pentest diye de bilinir)

TEHDIT MODELLEME

• Uygulama tehdit modelleme, uygulamaların functional ve non-functional

özelliklerini içeren tasarımlar üzerinde abuse case (use case’den hatırlayın)

çizerek, olası güvenlik zafiyetleri ile ilgili sorunları ortaya çıkarmak için

yapılan işlemdir.

TEHDIT MODELLEME

MICROSOFT SECURE SDLC

• Oooooooo Microsoft mu ? Yoksa sen ?!?

• Owasp Secure SDLC konusunda en çok Microsoft yayınlarından faydalanır.

• Adam Shostack (Microsoft Secure SDLC ve Thread Modeling)

KAYNAK KOD ANALIZI

• Kod güvenlik açısından incelenir, zafiyet içeren kod desenleri taranarak

raporlanır.

• HP Fortify

• IBM Appscan

• Checkmarx (Yeni bir startup, Israil’de)

CHECKMARX WWW.GAMEOFHACKS.COM

GAME OF HACKS - SORULAR

PENETRASTON TESTLERI / PENTEST

• 3’e ayrılır.

- Black Box (Saldırgan Gözü)

- White Box (Bilgi Alarak)

- Grey Box (Karışık)

PENTEST NEDIR

• Uygulamalar saldırgan gözü ile denetlenerek hack’lenmeye çalışılır.

• Sadece uygulama güvenliği ile ilgili değil, network zafiyetleri de incelenir.

• Otomatize araçlar ve manuel olarak gerçekleştirilir.

OTOMATIZE ARAÇLAR

• Netsparker (Türkiye girişimi)

• Acunetix

• IBM Appscan

• HP Web Inspect

MANUELDE KULLANıLAN ARAÇLAR

• Burp Suite (Tek geçerim)

• Owasp ZAP

• SQL Map

• Kali Linux içerisindeki araçlar

ZAFIYET TÜRLERI

HEPSINE BAKMAK IMKANSıZ

• Bir uygulama güvenliği eğitimi en az 3 gün sürmekte.

• Yazılım geliştirme tecrübesi

• Deneme, deneme, deneme !

MAP.IPVIKING.COM

• Zafiyetleri real-time izleme

SEKTÖR HAKKINDA TAHMINLER 1

• Güvenlik denetimlerinde pentest’in yerini Secure SDLC ve Kaynak Kod Analizi

alacak

• Oraya yönelin !

• Soru ???

SEKTÖR HAKKINDA TAHMINLER 2

• Güvenlik önlemleri artık framework’lere daha fazla bırakılmaya başlanacak.

• Geleneksel güvenliğin yeri daha fazla sistemlere devredilmeye başlanacak.

SEKTÖR HAKKINDA TAHMINLER 3

• Geleneksel güvenlik araçlarını yerini yeni nesil araçlar alacak.

• Yeni nesil güvenlik aracı nedir ?

• İmza tabanlı araçların yerini davranışsal analiz yapan araçlar alacak.

SEKTÖR HAKKINDA TAHMINLER 4

• Incident Response (Anında Müdahale) ekipleri revaçta

• Computer Forensics öğrenmeye bakın.

• Pentest bilmeden olmaz !!!

SEKTÖR HAKKINDA TAHMINLER 5

• Zero day ataklar artacak

• Önlem mekanizmaları neler olabilir ?

• Araştırma konusu ???

• Yeni start up’lar çıkabilir.

BLOG TUTUN !!!

• Yaptığım en büyük hata

• Kitap okuyun !

• Sürekli deneme yapın !!!

DEMO

• Shape Security

• Malware ve RoBot’lara karşı önlemler

BOTWALL

• Post datası üzerinde obfuscation işlemi

• Sıralamayı karıştırmak

• Başka neler yapılabilir ?

• Tüm HTML ve HTTP elemanları

PERFORMANS

• Bu sistemdeki tek sorun performans sorunu yaşanması

• WAF ile entegrasyon yapılabilir.

• PoC için IIS Module yazılmakta.

• Html ve Javascript parsing işlemi için AST kullanılıyor. (Abstract syntax tree)

SORULAR