SIBER DURUM FARKINDALIGINI ARTIRMADA ETKILI BIR YONTEM: BAYRAGI YAKALA(CAPTURE THE FLAG) 1

Siber Durum Farkındalıgını Artırmada Etkili BirYontem: Bayragı Yakala(Capture the Flag)

Osman Akın, Isıl Cınar, Muhammer Karaman, Fatih Bilekyigit

Ozet—Bilgi teknolojilerinin her gecen gun yaygınlasması vesayısal ortamda hem kisisel hemde kamusal verinin gunden gunekatlanarak artması beraberinde siber tehditlerin getirdigi riskleriartırmaktadır. Siber guvenlik alanında onemli adımlardan birisidurumsal farkındalık olusturmaktır. Bu calısmada siber durumfarkındalıgını artırmaya yonelik bayragı yakala (BY) yarısmalarıayrıntılı olarak incelenmis ve bu kapsamda kurum ici farkındalıkcalısması olarak uygulanan bir yarısma sonrasında elde edilensonuclar ve alınan dersler paylasılmıstır. Sonuclar gostermistir kisiber guvenlik alanında calısan ve gercek sistemlere saldırı yapmaimkanı olmayan personel icin duzenlenecek bayragı yakalamayarısmaları ile bilgi duzeyi ve farkındalık artırılabilir. Yine bucalısma gostermistir ki siber guvenlik alanında calıssa dahi birpersonel icin bizzat yasanacak tecrubeler teorik olarak ogrenilenbilgiden cok daha etkili bir sekilde farkındalık olusturmaktadır.

Anahtar Kelimeler — siber guvenlik, bayragı yakala, siberguvenlik farkındalıgı, siber oyun.

Abstract— The spread of information technologies andthe exponential growth of both personal and public data indigital media increase the cyber threats risks. One of themain important issue in the field of cyber security is tocreate situational awareness. In this study, capture the flagcontests that help improve situational awareness are studiedin detail. As a part of in-house awareness study, a capturethe flag contest is implemented, the results and lessonslearned have been shared. The results have shown that thelevel of knowledge and awareness can be advanced amongcyber security personnel who do not have an opportunity toattack real systems. This study has also demonstrated thatthe real experiences, which are gained by attending capturethe flag contest, can increase the level of awareness a lotmore than theoretical knowledge for cyber security personnel.

Index Terms—cyber security, capture the flag, cyber securityawareness, cyber game.

I. GIRIS

Bilgi teknolojilerinin kullanımının yaygınlasması vegunumuzde kurumların bilgi ve verilerinin buyuk bir bolumununsayısal ortamda bulundurulması ile siber tehditlerin olusturdugurisk her gecen gun bir kat daha artmaktadır. Ozellikle sosyalagların sayısının ve kullanıcısının artması, bircok devletuygulamasının internet ortamından sunulması, sanal ortamdakiverinin artmasını beraberinde getirmistir. Bu durum bircokkotu niyetli kisilerin ve cogu devletin istahını kabartmaktadır.Tıpkı gercek savaslarda oldugu gibi siber guvenlik konusundaonceden almıs oldugunuz guvenlik tedbirleri, yapmıs oldugunuz

O.Akın Hacettepe Univ.Bilg.Muh., e-mail: (oakin@hacettepe.edu.tr).I.Cınar Gazi Univ.Bilg.Muh., e-mail: (isil.cinar@gazi.edu.tr).M.Karaman, Siber Guv.Uzmanı, e-mail: (muammerkaraman29@gmail.com).F.Bilekyigit, Siber Guv.Uzmanı, e-mail: (fatihbilekyigit@gmail.tr).

testler, yasadıgınız tecrubeler, kurumlararası isbirligi veen onemlisi olusturmus oldugunuz durumsal farkındalıksistemlerinizi korumaya yardımcı olacaktır. Siber guvenlik farklıadımları barındıran butunlesik bir bir olgu olmasına ragmen,en temel adımlardan bir tanesi bu alanda calısan personelinfarkındalıgıdır. Siber guvenlik alanında farkındalıgı artırmakicin farklı yontemler ve calısmalar onerilmistir. Barındırdıgısistemler ve kritik veriler acısından farkındalıgın en yuksekolması gereken alanların (organizasyonların) basında kamukurumları gelmektedir. Bu alanda kamu algısı 2010 yılındayapılan bir calısmada [1] ele alınmıs ve bircok kamu kurumundasiber guvenlik farkındalıgının cok zayıf oldugu, sadece guvenlikduvarı kurulmasıyla sistemlerin guvenli kabul edildigi ortayakonmustur. Turkiye’de kamu kurumlarında siber guvenliginsaglanması noktasında ortaya cıkan ve cıkacak olan teknik,idari, hukuki, yonetimsel vb. alanlarda zayıflıkları ongormek,tespit etmek ve gidermek maksadıyla ulusal capta politika,strateji ve eylem planlarından olusan ve Haziran 2013’deyayımlanan Ulusal Siber Guvenlik Stratejisi ve 2013-2014Eylem Planı’nda “Siber Guvenlik Alanında Insan KaynagınınYetistirilmesi ve Bilinclendirme Faaliyetleri” baslıgı altındasiber guvenlik farkındalıgı ele alınmıs ve artırılmasına yonelikvurgular yapılmıstır[2]. Siber guvenlik alanında farkındalıklarıartırmak icin yapılan calısmalardan bir tanesi de BY yarısmalarıduzenlemektir. BY, beyaz sapkalı hackerlar arasında oynananogretici bir oyundur. BY’de yarısmacılar dijital labirentlericinde bir hedefin basarılı bir sekilde tamamlandıgını gosteren birbayragı yakalamaya calısırlar. Bir baska ifadeyle hacker timlerininbelirli yazılımlar ve ag yapılarını kullanarak bilgisayarlar veaglara saldırmaya veya savunmaya calıstıgı bir yarısmadır[5].Belirlenen hedefe ulasmak ve bayragı(hedef sistemlerde gizlimetin dosyası) once kapmak icin sistemlerdeki guvenlikacıklıkları degerlendirilerek bayraga ulasılır[3]. Bu bayraklar;gizli bir parola, bir veriye ulasma, veya bir resim bile olabilir.Bayraklar her yarısmacı icin ayrı veya farklı da olabilir.

BY yarısmasının temel amacı proaktif guvenligin faydalarınıngosterilmesidir. Diger bir ifadeyle onlem alınmayan basit guvenlikhatalarının sonuclarının nelere mal olacagını uygulamalı olarakgostermektir. Burada dikkat edilmesi gereken husus bu oyu-nun yıkıcı bir hacking anlayısından ziyade katılımcının teorikbilgilerini uygulamaya koymasını saglamak ve cesitli sistemlerarasındaki guvenlik sorunlarını hızlıca bulup degerlendirmesiniyapmaktır[4].

Bu alanda bir cok calısma onerilmesine ragmen genel-likle yapılan yarısmalar belli platformaları gerektirmekte vekatılımcıların belli bir on bilgi seviyesine sahip olması gerektigion kosul olarak sunulmaktadır. Bu calısmanın temel motivasyonubu tur yarısmaların kucuk olcekli isletmelerde ve kamu kurum-larında ogretici ve siber guvenlik farkındalıgını artırıcı olarak uy-gulanabilirligini gostermektir. Bu calısmada BY yarısması bir ku-rum ici egitim kapsamında ele alınmıs, yarısmacılar siber guven-

SIBER DURUM FARKINDALIGINI ARTIRMADA ETKILI BIR YONTEM: BAYRAGI YAKALA(CAPTURE THE FLAG) 2

lik alanında calısanlardan herhangi bir on kriter uygulanmadansecilmis, elde edilen sonuclar anket yontemiyle degerlendirilmisve bu alanda yapılacak calısmalara bir fikir olusturması icinalınan dersler ozetlenmistir. Bu calısma gostermistir ki gelismissistemlere sahip olmadan yaklasık 20 gunluk bir surede basit birag ortamında bu sekilde bir yarısma hazırlanabilmektedir. Yinebu yarısmanın sonucları ve elde edilen tecrubeler gostermistir kisiber guvenlik cok genis bir olgudur ve her bir alanda mutlakacok tecrubeli olunması gerekmektedir. Yarısma sonucunda eldeedilen bilgilerle katılımcıların kendilerine olan guvenlerinin vetecrubelerinin arttıgı gozlemlenmistir.

Bu makalenin bundan sonraki kısımları su sekilde elealınmıstır:Bir sonraki bolumde bu alanda yapılan calısmalarozetlenmis ve calısmaların artıları eksileri tartısılmıstır.Ucuncu bolumde soruların nasıl ve ne amacla olusturuldugu,yarısmanın nasıl dizayn edildigi, nasıl gerceklendigi konularıdetaylı olarak ele alınmıstır. Bir sonraki bolumde ise yarısmasonucunda degerlendirmenin nasıl yapıldıgı ve sonuclarıozetlenmistir. Besinci bolumde yarısma ile kazanılan deneyimlerve alınan dersler paylasılmıstır. Son olarak bu sekilde biryarısmayı gerceklestirmenin artı ve eksileri degerlendirilereksonuclar ortaya konmustur.

II. ILGILI CALISMALARAkademik ve farkındalık artırma amaclı yapılan bircok siber

guvenlik calısması BY’yi olusturmaktadır. Bu alanda simdiyekadar bircok calısma yapılmıstır ancak onerilen her farklıyontem yeni bir farkındalık olusmasına olanak saglamaktadır.BY calısmaları, guvenlik alanında soz sahibi bir egitim kurumuolan SANS’ın yayınladıgı dokumana[3] gore temel olarak 3farklı grupta toplanmıstır. Bunlar sadece saldırı(only offensive)olanlar, saldırı veya savunma olanlar(ofensive/defensive) bir desaldırı ve savunmanın bir arada oldugu karısık saldırı/savunma(mixed offensive/defensive) olanlar seklinde belirtilmistir. BY ilkolarak 1996 yılında, 4’uncu DefCon Konferansında yapılmıstır.Soz konusu yarısmanın katılımcılarını, bilgisayar guvenlik uz-manları, kose yazarları, hukukcular, hukumet calısanları, guvenlikarastırmacıları ile; yazılım, bilgisayar mimarisi, telefon sistem-lerine yasadısı girme, donanım degisikligi ve hacklenebilecekherhangi bir konuda ilgisi olan hackerlar olusturmustur[5].

Muteakiben DefCon yarısmaları her yıl duzenlenmeye de-vam edilmistir. Bu yarısma dunya capında herkese acık ol-masına ragmen oncesinde belirli eleme asamalarından gecildigiicin bir bakıma profesyonellerin katıldıgı bir yarısmadır. Eleme-lerde basarılı olan sekiz takım DefCon konferansında daha onceolusturulmus olan tecrubeli bir takıma karsı yarısmaktadır [6].

Duzenlenen yarısmaların uygulama sekli de farklılık goste-rebilmektedir. Ornegin yine DefCon’un duzenledigi ve amacıDARPA’nın 5 yıllık birikmis Ar-Ge dayanıklılıgının etkisini testetmek oldugu yarısmada[6] her takımın hem saldırı hem desavunma yetenegi bulunmakta ve her takım kendi bayragınısavunurken diger takımların bayragına ulasmaya calısmaktadır.DARPA’nın “kırmızı takım” ismi verilen ve geleneksellesenyarısmalarında ise takımların sadece saldırı yetenekleri olculmek-tedir.

Bu alanda yapılan baska bir calısmada[7], BY farklı altyapılarasahip ogrenciler icin siber guvenlik farkındalıgı ve tecrubesiolusturulması amacıyla uygulanmıstır. Yarısmanın farklı bilgi bi-rikimine sahip ogrenciler icin ele alınmasının temel nedeninin cokdaha fazla ogrencinin bu deneyimi yasamasını saglamak oldugu

ifade edilmistir. Bu yarısmada ogrencilerden farklı takımlarolusturulmus ve her bir takım, olusturulan sanal sunuculardakendi web sitesini korurken baska takımın web sitesinde yer alanbayragı ele gecirmeye calısmıstır.

Benzer yapılan bir diger calısmada[8], BY icin farklı okul-lardan ogrencilerle farklı takımlar olusturulmustur. Bu calısmadayine her bir takım kendi web sitesini korurken diger takımlarınweb sitesinde yer alan bayragı ele gecirmeye calısmaktadır. Bucalısma siber guvenlik alanında her bir acıklık icin cok iyi dere-cede spesifik bilgiye sahip olunması gerektigini ortaya koymustur.

Bu alanda en cok bilinen diger iki yarısma da Amerikan UlusalKolejler Arası Siber Savunma Yarısması (National Collegiate Cy-ber Defense Competition-NCCDC)[9] ve Kaliforniya Universite-sinin Uluslararası Bayragı Yakala Yarısmasıdır(International Cap-ture the Flag Competition -iCTF) [10]. Her iki yarısma da hemulusal hem uluslararası olarak yuzlerce ogrencinin katılımıyla veon elemeleri ile birlikte cok buyuk organizasyonlar seklinde icraedilmektedir.

Bu alanda daha spesifik ve farklı formata sahip askeri okullaricin kullanılan calısmalardan bir tanesi de Military AcademiesCyber Defense Exercise (CDX) [11], [12],[13] yarısmalarıdır.Bu yarısma, ogrencilerin kendi aglarını(network) kırmızı birtakıma karsı savunmaları bakımından NCCDC yarısmasına ben-zemektedir. Bu yarısmadaki farklılık kırmızı takımın NationalSecurity Agency(NSA) ve bu alanda uzman askeri personeldenolusturulması ve ogrencilerin var olan bir agı kullanmak yerineverilen bir butce kapsamında kendi aglarını kurmaları ve savun-malarıdır.

Buyuk olcekli yarısmaların yanında bu konuyu bizimyaptıgımız calısmaya benzer olarak kucuk boyutta ele alancalısmalar da mevcuttur[14]. Bu yarısmada ogrencilerden altısarlıgruplar seklinde dort masa olusturulmus ve her bir masakendi agını(web sitesi, veritabanı, firewall, DNS vb. icermekte)kurarak ve savunarak diger aglara saldırı duzenlemistir. Bucalısmada BY yarısmalarının kucuk boyutlu olarak etkin birsekilde yapılabilecegi gosterilmeye calısılmıstır.

BY yarısmaları ogrenme amaclı hazırlandıgı icin daha son-rasında yıkıcı amaclı kullanılmaması onemlidir. Bununla ilgilibir calısmada[15] bir BY yarısmasının amacının ogrencilerinegitimine katkı saglamak oldugu ve yarısma sorularının etikolarak hazırlanması gerektigi vurgulanmıstır. Bazı yarısmacılarınkonuyla ilgili yetenek ve bilgilerini zararlı faaliyetlerde kullana-bilecegi; bu sorunu asmak icin yarısma soruları icerigi ve genelmufredatın etik olması gerektigi belirtilmistir. Yarısma sorularınınkapsam ve icerigi belirlenirken bu durum kurum ici hazırlananyarısmalarda da goz onune alınmalı ve konunun hassasiyeti veyarısmanın amacı katılımcılara cok iyi bir sekilde aktarılmalıdır.

Incelenen calısmalarda onemle uzerinde durulan bir diger hususise yarısma icrası icin kaynak kullanımı ve maliyet konusudur.Hoffman, L. ve ark. yaptıkları calısmada [16] tedarik/temin(ozellikle sadece yarısma icin gerekli ise uygun donanım/yazılımtedariki zor ve maliyetli olabilmektedir), bakım (yarısmalarınbutceleme ve planlaması uzun sureye yayıldıgında ve duzenliolarak her yıl uygulandıgında teknik guncellemeler gibi bakımihtiyacı dogmaktadır), personel ihtiyacı (bu tarz yarısmalardayonetimsel ve teknik personel destegine her zaman ihtiyac du-yulmaktadır), dıs destek (ic destek seviyesine gore saldırgan,hakem veya denetci gibi davranabilmek icin dıs bilgi hizmetininalınması da onemlidir), yonetim (cesitli sponsorlardan destekalmak yarısma geliri acısından onemlidir) ve imkanlar konularına

SIBER DURUM FARKINDALIGINI ARTIRMADA ETKILI BIR YONTEM: BAYRAGI YAKALA(CAPTURE THE FLAG) 3

dikkat cekmislerdir.Turkiye’de de son yıllarda artmakla birlikte farklı zaman

ve formatlarda cesitli BY yarısmaları duzenlenmektedir. Buoyunlara zaman zaman cevrimici katılım saglanabildigi gibifarklı platformlar da kullanılabilmektedir. Son yıllarda yapılanyarısmalardan bir tanesi de Prodaft sirketi tarafından duzenlenen,siber guvenlikle ilgili analitik dusunme ve teknik bilgi gerekti-ren 25 adet gorevin verildigi “Dunyayı Kurtaran Hacker” adlısiber savas oyunudur. Oyunun amacı Turkiye’de siber guvenliginonemini duyurmak ve bu konudaki yetenekli gencleri bir arayagetirmek olarak acıklanmıstır. Soruların web sayfası uzerindenyayımlandıgı yarısmaya toplam 1599 kisi katılım saglamıstır[17].

Bilgi Guvenligi Akademisi, Istanbul Bilgi Universitesi veADEO Bilisim ve Danısmanlık sirketi isbirligiyle Istanbul BilgiGuvenligi Konferansı’nda 2009 ve 2011 yıllarında duzenle-nen konferaslarda yine BY yarısması icra edilmistir. IlkindeBY yarısması iki ana kategoriye ayrılmıs ve yarısma 5 farklıadımdan olusmustur[18]. Ikinci yarısmada ise 38 farklı ko-nuda 35 farklı uzman yer almıs ve hem internet uzerindenhem de etkinlik alanında “Capture The Flag Ethical Hacking”yarısması gerceklestirilmistir. Yarısmaya ait detaylı cozumleriiceren dokuman web uzerinden yayımlanmıstır[19].

Duzenlenen baska bir etkinlik, Bilgi Guvenligi Akademisitarafından Nisan 2012 tarihinde genele acık BY ve BeyazSapkalı Hacker(Ethical Hacking) yarısmasıdır. Yarısma toplam6 adımdan olusmus ve her bir adımda bir sonraki adım ilebaglantı kurulmustur[20]. Yarısmaya yaklasık 500 kisi katılmıstır.Sorular web uygulaması ortamında sunulmus veya e-posta ilegonderilmistir. Soruların cozumlerine ait teknik dokuman iseyarısma sonrasında yayımlanmıstır.

Baska bir faaliyet olarak, TUBITAK ve Bilgi Guvenligi Akade-misi, Turkiye’de siber guvenlik uzmanı eksikliginin giderilmesinedestek olmak ve kapasite gelistirilmesini saglamak amacıyla uni-versite ogrencilerine yonelik “Siber Guvenlik Yaz Kampı“ duzen-lemektedir. Ilki 2012 yılında Gebze’de duzenlenen kampın ikin-cisi 2013 yılında duzenlenmistir. Kamp suresince bilisim sistem-leri guvenligi konusunda ogrencilere farklı konularda egitimlerverilmesinin yanısıra uygulamalı, egitim amaclı ve odullu BYyarısmaları duzenlenmektedir[21].

Katılımcıların cogu kamu kurumu olmakla birlikte, iclerindeozel sektor ve sivil toplum kurulusları da bulunan 2. UlusalSiber Guvenlik Tatbikatı 2013 yılında duzenlenmis; daha oncekiyıllardan farklı olarak bu tatbikatta BY yarısması icra edilmistir.Yarısmaya 5’er kisilik 4 farklı takım katılmıstır. Yarısmada once-den tasarlanmıs, belirli acıklıkları olan sistemleri asamalı olarakele gecirmek uzere oyun senaryoları kurgulanmıstır[22].

Yine 2013 yılında Istanbul’da gerceklestirilen ve amacıarastırmacılar, hackerlar ve gelistiriciler arasında fikir ve tecrube-lerin ogrenilmesi ve paylasılmasını saglamak olan “NOPconGuvenlik Konferansı”nda NOPcon BY yarısması duzenlenmis vecozumleri sunulmustur[23].

Bir baska calısma da, Web Guvenligi Toplulugu (OwaspTurkiye) tarafından gelistirilen “Davshan” isimli BY projesidir.Projede guvenlik konusunda kendini test etmek isteyen kisiler,sistem uzerinde bilerek bırakılmıs olan acıklıkları tespit etmeyecalısmaktadırlar[24].

Bu noktadan hareketle; Turkiye’de icra edilen Siber GuvenlikTatbikatları, Siber Guvenlik Yaz Kampları ve benzeri kapsamdayapılan diger calısmalar incelendiginde son yıllarda duzenlenenbu gibi organizasyonlarda ciddi artıs oldugu; ulusal, kurumsal ve

dogal olarak bireysel farkındalıgın arttıgı ve buna paralel olarakBY yarısmalarının da bu farkındalıgın artmasında, siber guvenlikalanında ihtiyac duyulan motivasyonun saglanmasında ve yete-neklerin kesfedilmesinde onemli bir etken oldugu gorulmektedir.

Bu alanda ozellikle Amerika kaynaklı cok fazla calısma one-rilmesine ragmen, bu yarısmaya hazırlanırken ve sonrasında bucalısmayı olustururken yapmıs oldugumuz taramalarda BY’ninkucuk olcekli olarak kamu kurumlarında hizmet ici egitimkapsamında uygulanmasına rastlanmamıstır. Amerika kaynaklıbircok yarısma ozellikle ogrencilerin egitimi icin onerilmistir.Bunun yanısıra yaptıgımız yarısma formatına benzer yarısmalarTurkiye’de yapılmıssa da bu yarısmalarla ilgili herhangi birdegerlendirme yapılarak paylasılan herhangi bir calısma bilgi-miz dahilinde yoktur. Yaptıgımız bu calısma kamu kurumlarındaBY’yi hizmet ici egitim kapsamında ele alması anlamında birilki olusturmaktadır. Bu calısmada ayrıca farklı soru cesitlerikullanılarak siber guvenligin cok kapsamlı konuları barındırdıgıve farkındalık olusturulurken bu durumun goz onunde bulundu-rulması gerektigi ortaya konmaya calısılmıstır.

III. YARISMANIN DIZAYN EDILMESI VEUYGULANMASI

Yarısma tasarlanırken siber guvenligin onemi goz onunealınarak, hem alanın ne kadar genis oldugu hem de bualanda yetisecek kisilerin temel konulara cok iyi hakim ol-ması gerektigi hedeflenmistir. Bu yarısmanın amacının savun-maya yonelik farkındalık olusturmak oldugu katılımcılara ozel-likle vurgulanmıstır. Yarısmanın hazırlanması ve uygulanmasıprosedurel konular ve teknik konular olmak uzere iki farklı altbaslık altında toplanmıstır. Prosedurel konularda yarısmanın nasılyapılması gerektigi, suresi, kullanılacak platform ve donanımgibi konular ele alınırken; teknik konular kısmında yarısmadakullanılan sorular ve cozumleri ayrıntılı olarak incelenmistir.

A. Prosedurel Konular

Sorular hazırlanırken, kurum ici alınan egitimlerin katılımcılarafaydası, katılımcıların calısma alanları, yarısma sırasında kul-lanılacak donanım/yazılım yeterliligi, katılımcıların siber guven-lik konusundaki farkındalıgının test edilmesi gibi hususlar gozonunde bulundurulmustur.

Yarısmacılara donanım ve yazılım kullanımı kapsamında her-hangi bir kısıtlama getirilmemis, yarısmaya bireysel veya ikikisilik takımlar halinde katılabilecekleri belirtilmis ve yarısmanınsuresi 2 gun olarak kısıtlanmıstır. Sure yonunden kısıtlama ge-tirilmesinin sebebi kullanıcıların daha iyi performans goster-melerini beklemektir. Yarısma icin belirli sistemler olusturarakkatılımcıların bu sistemlere saldırmalarını beklemek yerine be-lirli formatta hazırlanan soruları iceren dosyalar gonderilerekyarısmanın yapılması kararlastırılmıstır. Yarısmayı bu sekildedizayn etmemizdeki temel amac minumum donanım ve caba ileyarısmanın yapılmasını saglamaktır. Yarısmanın icerigi, amacı,soru baslıkları, puanlaması gibi yarısmayla ilgili genel bil-giler Wordpress kullanılarak yarısma oncesinde katılımcılarlapaylasılmıstır. Katılımcılar siber guvenlik alanında calısan per-sonelden herhangi bir on kriter uygulanmadan secilmistir.Yarısmaya katılacak kisilere birer adet bilgisayar tahsis edilmisve bu bilgisayarlar bir yerel ag olusturacak sekilde bir sunucuile internete irtibatlandırılmıstır. Kullanıcılar kendi bilgisayar-larında yonetici yetkisine sahiptirler ve internet ortamında gerekli

SIBER DURUM FARKINDALIGINI ARTIRMADA ETKILI BIR YONTEM: BAYRAGI YAKALA(CAPTURE THE FLAG) 4

yazılımları indirerek kullanabilmislerdir. Yarısma puanlamasındacevap veren kisi sıralaması dikkate alınmıs ve ilk uc kisiyecevap verme sırasına gore 10, 8 ve 6 puanları verilmis, sonrakiyarısmacılardan cevap veren her kisiye beser puan verilmistir.Puanlama Wordpress kullanılarak online olarak kullanıcılarailetilmistir. Yarısmaya toplam 16 kisi katılım saglamıstır.

Yarısma sorularının cevapları yarısma sonunda paylasılmıs;farklı teknik ve yontemlerle sonuca giden yarısmacılar da so-ruların cozumune katkı saglamıstır. Boylece yarısmacıların soru-larda hangi asamaya kadar geldikleri, eksikliklerinin neler olduguve farklı cozum yontemleri ogrenilmistir.

B. Teknik Konular

Yarısmada sorular; stegonografi, internet uzerinden bilgi top-lama yontemleri, sosyal muhendislik, sifre kırma bilgisi (Tru-ecrypt, Winrar vb.), web uygulama guvenligi (SQL injection),parola kırma saldırıları (hash, md5 , rainbow table vb.), kripto-lama bilgisi kullanma, ag trafigi analizi , e-posta guvenligi gibikonuları icermektedir. Sorular hazırlanırken daha once Turkiye’deve dunyada gerceklestirilmis olan yarısmalardan faydalanılmıstır[17], [3], [20]. Sorularla ilgili ayrıntılı bilgiye ve degerlendirmeyeasagıda yer verilmistir.

• E-posta GuvenligiYarısmacılardan yahoo, mynet ve gmail e-posta hesaplarıistenmistir. Bu hesaplara kendilerine ait diger e-posta adresle-rinden gelmis gibi gorunen sahte e-posta gonderilmistir. Metiniceriginde sifreli bir sekilde flag bilgisi verilmistir. Yarısmacınıngelen e-postanın sahte oldugunu anladıgı anda tespit etmek uzeregelen e-postanın baslık bilgisini kontrol etmesi gerekmektedir.Boylelikle yarısmacı sahte postanın hangi posta sunucusu kul-lanılarak gonderildigini tespit etmektedir. Yarısmacıya bayrakolarak sahte posta gondermek icin kullanılan sunucunun adı sifreliolarak verilmistir.

• Web Uygulama GuvenligiBu senaryoda SQL Injection ile yerel olarak kurulmus olan

bir web tabanlı uygulamaya yetki olmadan ve herhangi birparolaya sahip olmadan giris yapılması istenmistir. SQL Injectionile sisteme yonetici yetkisiyle giris yapıldıgında listedeki tumpersonelin bilgilerine erisilebilecektir. Listedeki belirli bir kaydınbilgilerinin degistirilmesi, silinmesi veya yeni kayıt girilmesi gibiSQL islemlerinin gerceklestirilmesi beklenmistir. Bu islemlerigerceklestiren kullanıcı ekran goruntusunu cevap olarak gonde-recektir.

• StegonografiStegonografi kullanılarak herhangi bir resim icerisine gizlenenmetnin cozulmesi istenmistir. Burada kullanılan orjinal resim veicerisine metin gizlenmis olan resim (Sekil 1) yarısmacıya e-postaile gonderilmistir.

Burada onemli olan nokta; herhangi bir resme bir stego aracıile metin gizlendiginde bu metni cozmek icin yine aynı stegoaracı kullanmak gerektigidir. Sadece ticari birkac urunle herhangibir aracla gizlenmis olan metinlerin cozulebildigi iddia edilmekte-dir. Dolayısıyla katılımıcıya kullanılan stegonografi aracı (QuickStego) ipucu olarak verilmistir. Yarısmacılar Sekil 2’de yer alansonuca ulasmıslardır. Bu yarısma sorusu, siber guvenlik acısındanbazı dosyaların gorundugunden farklı bilgiler icerebileceginigostermistir. Stegonografi teknikleri ile ilgili detaylı bilgi icinU.Tatar ve ark.’nın calısmasına [25] bakılabilir.

Sekil 1. Icerisine MetinGizlenmis Olan Resim

Sekil 2. Resim IcindekiCozulmus Gizli Metin

• Sifre KırmaBu soruda amac TrueCrypt ile sifrelenmis dosyanın pa-

rolasını bulup icerisindeki gizli mesajı ortaya cıkarmaktır.Yarısmacılardan oncelikle istenen ozel bir wordlist olusturaraksifrelenmis olan dosyanın parolasını bulmalarıdır. TrueCrypt ilesifrelenmis dosyanın parolasının ilk 5 karekterinin “siber” ke-limesi olması, bu kelime haric sadece rakamlardan olusmasıve toplam 10 karakter icermesi ipucu olarak verilmistir. Busenaryoda kullanıcılardan yukarıda yer alan ipuclarını kullana-rak olusturdukları bir sifre listesi(wordlist -Bactrack ile bir-likte gelen “Crunch” vb.) ile veya cogu uygulamanın sagladıgı“password pattern” secenegini kullanarak duzenli ifadeler (re-gex) ile TrueCrypt sifresini acık kaynak uygulamalardan birini(ornegin; OTFBrutus adlı arac hem “wordlist” hem de “pas-sword pattern” kullanımını saglamaktadır) kullanarak kırmalarıve gizli mesajı ortaya cıkartmaları istenmistir. Gizli mesajicerisinde bayrak yer almaktadır. Bu soru ile basit parolaların kısasurede kırılabilirligi ve kisisel hayatımızla ilgili bilgilerin parola-larda kullanılmasının tahmin edilebilirligi(word list olustururken)kolaylastırdıgı katılımcılara gosterilmeye calısılmıstır.

• Internet Uzerinden Bilgi ToplamaBu soruda yarısmacılara jpeg formatında bir fotograf ve bir

senaryo verilmistir. Yarısmacılar oncelikle bu fotografı kullana-rak internet uzerinde gorsel arama yapacaklar ve fotografın aitoldugu web sitesini kesfedeceklerdir. Bu web sitesinde uygunkelimelerle arama yapacak ve kullanıcı bilgilerinin(kullanıcı adı,sifre vb.) yer aldıgı bir excel dosyasına eriseceklerdir. Sonrasındaise yarısmacıların toplamıs oldukları bilgileri kullanarak websitesinin veritabanına sızmaları ve bu veritabanında yer alan birmakaleye erismeleri istenmistir. Buradaki bayrak veritabanınasızıldıgını kanıtlayan, veritabanındaki makalelerden bir tanesininkimlik bilgisidir. Sisteme giris yapıldıktan sonra arastırma yonte-miyle web tabanlı uygulamada gerekli bilgiler elde edilebilecektir.Bu soruda katılımcıların “google hacking” ve arama motorundagorsel arama sayfasından resim arama ozelligini kullanmalarıbeklenmistir. Bunun yanısıra katılımcılar, kullanıcı bilgilerini vesifrelerini iceren herhangi bir dosyanın web sunucuda saklanma-ması ya da unutulmaması gerektiginin farkına varmıslardır.

• Farkındalık ve BiliclendirmeBu alanda iki adet soru kullanılmıstır. Ilk olarak

katılımcılara sadece bir fotograf gonderilerek bayragaerismeleri istenmistir(Sekil 3). Fotografın parlaklık ve karsıtlıkayarlarıyla oynandıgında icine yerlestirilmis bir metin ortayacıkmaktadır(Sekil 4). Bu soru katılımcılara bir dosyanıngorundugunden farklı bilgileri de barındırabilecegi gerceginigostermistir.

Ikinci soru notlarımızı cope atarken ne kadar cok dikkat et-memiz gerektigini hatırlatmak maksatlı hazırlanmıstır (Sekil.5).

SIBER DURUM FARKINDALIGINI ARTIRMADA ETKILI BIR YONTEM: BAYRAGI YAKALA(CAPTURE THE FLAG) 5

Sekil 3. Icerisine bayrakgizlenmis resim

Sekil 4. Ayarları ile oynanarakbayragın elde edilmesi

Soruda kagıt parcaları uygun sekilde birlestirildiginde bayragaerisilmektedir(Sekil.6). Birlestirme islemi cesitli yazılımlarla(photoshop vb.) kısa surede yapılabilmektedir veya fotografıncıktısının alınıp uygun sekilde birlestirilmesi de bayraga ulasmayısaglayacaktır.

Sekil 5. Yarısmacılara gonderilenparcalı fotograf

Sekil 6. Parcaların uygun sekildebirlestirilmis hali

• Parola Kırma Saldırıları (hash, md5 , rainbow table vb)Bu soruda katılımcılara Winrar kullanılarak sifrelenmis bir

dosya icerisinde kullanıcı adlarının ve sifrelerinin hash kayıtlarıverilmistir. Katılımcıların oncelikli olarak kaba kuvvet (Bruteforce) atak ile Winrar sifresini kırmaları istenmistir(or: Win-rar Password Cracker, Rar Pasword Recovery). Yarısmacılarsifreyi kırdıktan sonra eristikleri dosyada kullanıcı adları vehash kayıtları bilgilerine eriseceklerdir. Sonrasında ise “Flag”adlı kullanıcının hash kaydını, online md5 kaydı kıran websitelerinde[26] deneyerek sifreye ulasmaları hedeflenmistir. Busenaryo ile katılımcılara sifrelerin zorlastıkca kırılmasının dahazor oldugu ve uygulamalarda sifrelerin acık olarak(clear text)tutulmaması gerektigi anlatılmaya calısılmıstır.

• KriptolamaKatılımcılara Sezar Sifreleme yontemi kullanılarak hazırlanmıs

bir metin gonderilerek kriptolama alanındaki bilgileri olculmustur.En eski sifreleme yontemlerinden biri olan Sezar algoritmasınıyarısmacılara bir kez daha hatırlatmak icin hazırlanan bu sorudaamac katılımcıların online sifre cozen web sitelerinin[27] vearacların (crank v0.1.3 vb.) farkında olup olmadıklarını olcmektir.

• Ag Trafigi AnaliziKatılımcılara bir pcap (ag sniff edilerek elde edilmis dosya)

dosyası gonderilerek; trafik analizinin yapılması istenmistir.Katılımcılar analiz sonucunda flag olarak analiz dosyası icindeyer alan sifre bilgisine ulasmıslardır. Bu senaryoda amackatılımcıların Wireshark, Networkminer, tcpdump vb. trafikanaliz araclarını kullanmalarını saglamaktır. Bu soru ayrıcayarısmacılara ag uzerinden acık olarak gonderilen bilgilerinbaskalarının eline gecme ihtimalinin cok yuksek oldugunugostermistir.

IV. DEGERLENDIRME

BY yarısmasının etkinligi yapılan anket ile degerlendirilmistir.Kullanıcılara yarısmadan once ve sonra siber guvenlikalanında kendilerine guvenlerinin nasıl oldugu soruldugunda,katılımcılar ortalama olarak %50 oranında guvenlerininarttıgını belirtmislerdir. Buna ek olarak boyle bir yarısmayatekrar katılmak ister misiniz ya da yarısmanın hazırlanmasıasamalarında yer almak ister misiniz sorularına katılımcılarınhepsi ”Evet” cevabını vermislerdir. Ayrıca katılımcılaryarısma icin kullandıkları donanım ve yazılımların yeterlioldugunu, yarısmanın formatının ve yayımlanma seklinin uygunoldugunu belirtmislerdir. Katılımcılara yarısmanın siber guvenlikfarkındalıgına katkısı soruldugunda tamamından “cok iyi” cevabıalınmıs ve tekrarlanması istenmistir. Baska bir soruya cevapolarak katılımcılar yarısmanın alınan egitimlerin uygulanmasıicin kendilerine bir fırsat sundugunu dile getirmislerdir.

Bunun yanı sıra katılımcılarla yuz yuze yapılan gorusmelerdeyarısmanın guvenlige bakıs acısını nasıl degistirdigi sorulmustur.Yarısmacılardan bir tanesi kisisel bilgisayarında eksik olan yama-ları yukledigini, bir digeri virus programını guncelledigini ve birbaskası da sifresiz olarak acılan bilgisayarına sifre koydugunubelirtmistir. Bunun yanısıra kullandıgı sifrenin basit oldugununfarkına varan baska bir yarısmacı sifresini guclendirdigini dilegetirmistir. Bir baska etkinlik olarak yarısma sonrasında soru-ların cevapları yarısmacılarla paylasılmıs ve yarısmacıların kul-landıkları farklı yontemler ogrenilmistir. Bu sayede cok farklıve ozgun cozumlerin de olabilecegi diger yarısmacılar tarafındantecrube edilmistir. Yarısma sorularından elde edilen tecrubeninyanında katılımcılar bu paylasım sayesinde birbirlerinin tecrube-lerinden de faydalanma imkanı bulmuslardır.

V. ALINAN DERSLER VE GELECEK CALISMALAR

Bu sekilde bir yarısma dizayn etmek ve uygulamak bizimacımızdan bir ilk oldugu gibi katılımcılar acısından da bir ilkiolusturmaktadır. Bu anlamda bu yarısmadan ogrenmis oldugumuzve paylasılmaya deger buldugumuz konuları paylasmak istedik.Oncelikle boyle bir yarısmayı icra edebilmek icin cok buyukmiktarda bir veri kaynagını taradık ve boyle bir yarısmanınnasıl icra edilmesi gerektigi konusunda bilgi sahibi olduk. Ilkadım olarak bu faaliyet siber guvenlik konusunda oncelikle bizimfarkındalıgımızın artmasını sagladı.

Ozellikle kurumsal bir BY gerceklestirilmesi sebebiyle,yarısmanın hem mesai saatlerini hem de sonrasını kapsıyor ol-ması kurum islerinden dolayı zaman zaman yarısmacıların aravermelerine ve puanlamada geriye dusmelerine neden olmustur.Yarısmanın gerceklestirilecegi tarihlerin, katılımcılara haftalaroncesinden bildirilmesi, is yukunun daha az oldugu haftalarınsecilmesi, yarısmaya katılacak personele mesai sırasında imtiyazgosterilmesi gibi hususların sonraki yarısmalarda dikkate alınmasıgerektigi sonucuna varılmıstır.

Yarısmada kullanılan donanım/yazılım alt yapısı her ne kadariyi seviyede olsa da daha karmasık soruların hazırlanıp uygulan-ması ve yarısmanın kapsamının genisletilerek daha cok personelinkatılımının saglanması icin her yıl duzenlemeyi planladıgımızyarısmalara ozel laboratuvar calısması yapılması gerektigi sonu-cuna ulasılmıstır.

Yarısma oncesinde yarısmacıların kullanacakları araclarla ilgiligerekli kontrolleri yapmaları konusunda bilgilendirme yapılmasıve yarısma oncesi destek verilmesi gerektigi sonucuna varılmıstır.

SIBER DURUM FARKINDALIGINI ARTIRMADA ETKILI BIR YONTEM: BAYRAGI YAKALA(CAPTURE THE FLAG) 6

Ornegin sanal makine kullanan bazı yarısmacılar konfigurasyonkonusunda sıkıntı yasamıs ve zaman kaybetmislerdir.

Yarısma yapı itibari ile birbirinden bagımsız sorulardan vebayraklardan olusmaktadır. Soruların yarısmacılara baslangıctabutun olarak verilmesi, zorluk derecesi bakımından aynı sevi-yede olmayan sorulara yarısmacıların farklı sırada cevap verebili-yor olması, puanlamadaki dengeleri degistirmistir. Bundan sonragerceklestirilecek olan yarısmalarda yapı degistirilerek, bir oncekisorudan elde edilen bayrakla sonraki sorulara gecis yapılmasınındaha uygun olacagı dusunulmektedir. Bu sekilde basit sorudan zorsoruya dogru bir hiyerarsik yapı olusturulmus olacak ve herkesaynı zamanda aynı soru icin caba harcayacaktır.

VI. SONUC VE ONERILER

Bu yarısma hem katılımcılar hem de yarısmayı hazırlayanlaricin ust duzeyde bir ogrenme tecrubesi olusturmustur. Once-likle bu yarısmaya katılanlar siber guvenlik alanında ne dere-cede bilgi birikimine sahip olduklarının farkına varmıslar ve bualanda ne tur yeteneklerini gelistirmeleri gerektigini daha iyikavramıslardır. Bunun yanısıra bu yarısma hem katılımcılara hemde hazırlayanlara siber guvenligin ne kadar karmasık bir yapıdaoldugunu ve cok genis bir bilgi alanını icine aldıgını gostermistir.Bu yarısma icin olusturulan altyapı, kurulması dusunulen siberguvenlik test laboratuvarı icin bir on calısma niteligi tasıyabilir.Yapılan yarısmanın daha da gelistirilerek bir sonraki adımdadaha cok personel ile ve daha farklı konuları icerecek sekildeyapılması planlanmaktadır. Bu alanda ulke ve kurumlar capındayapılacak bayrak yarısmalarının; ulusal ve kurumsal farkındalıgınartırılmasına, bireysel yeteneklerin ortaya cıkarılmasına, siberguvenlik alanında dinamikligin saglanması acısından faydalıolacagı degerlendirilmektedir. Bunun yanı sıra universitelerin debayrak yarısmaları adı altında yarısmalar duzenlemesinin buyukoneme sahip oldugunu dusunulmektedir. Bayrak yarısmalarınınkapsamlarının genisletilerek bireysel ve kurumsal katılımın daartırılmasıyla siber guvenlik tatbikatlarından ayrı olarak “UlusalBayrak Yarısmaları” duzenlenmesinin, bu ve benzer faaliyetlerinicra edildigi haftanın da “Ulusal Siber Guvenlik FarkındalıkHaftası” olarak ilan edilmesinin siber guvenlik farkındalıgına veegitimine katkı saglayacagı degerlendirilmektedir.

KAYNAKLAR

[1] Adnan YILMAZ, M. Akif BAKIR: Kamu Kurumlarında Bilgi GuvenligineYonelik Bir Durum Tespiti. pp.97-101

[2] http://www.resmigazete.gov.tr/eskiler/2013/06/20130620-1.htm (KararSayısı : 2013/4890 Ekli “Ulusal Siber Guvenlik Stratejisi ve 2013-2014Eylem Planı”nın kabulu; Ulastırma, Denizcilik ve Haberlesme Bakanlıgının18/2/2013 tarihli ve 412 sayılı yazısı uzerine, Bakanlar Kurulu’nca 25/3/2013tarihinde kararlastırılmıstır.)

[3] http://www.sans.org/reading room/whitepapers/casestudies/capture-flag-education-mentoring 33018, Haziran 2013

[4] CTF, http://www.istsec.org/ctf/, Kasım 2009[5] Gavas, Efstratios, Nasir Memon, and Douglas Britton. “Winning Cybersecu-

rity One Challenge at a Time.” Security & Privacy, IEEE 10.4 (2012): 75-79.[6] Cowan, Crispin, et al. “Defcon capture the flag: Defending vulnerable code

from intense attack.” DARPA Information Survivability Conference andExposition, 2003. Proceedings. Vol. 1. IEEE, 2003.

[7] Werther, Joseph, et al. “Experiences in cyber security education: The MITlincoln laboratory capture-the-flag exercise.” Cyber Security ExperimentationAnd Test 8 (2011).

[8] Ho, Jun-Won, Nayantara Mallesh, and Matthew Wright. “The Design andLessons of the ASCENT Security Teaching Lab.” Proceedings of the 13thColloquium for Information Systems Security Education. 2009.

[9] The National Collegiate Cyber Defense Competition. Web Site, Haziran 2013:http://www.nationalccdc.org/

[10] The UCSB iCTF. Web Site, February 2012: http://ictf.cs.ucsb.edu/

[11] Mullins, Barry E.; Lacey, Timothy H.; Mills, Robert F.; Trechter, JosephE. and Bass, Samuel D. How the Cyber Defense Exercise Shaped anInformation- Assurance Curriculum. IEEE Security and Privacy, 5(5) (Sep-tember 2007), pp. 40-49

[12] DeLooze, Lori L. Counter Hack: Creating a Context for a Cyber ForensicsCourse. In Frontiers in Education Conference 2008 (FIE 2008), SaratogaSprings, NY, October 2008.

[13] Fanelli Robert L. and O’Connor, Terrence J. Experiences with practice-focused undergraduate security education. In Proceedings of the 3rd inter-national conference on Cyber security experimentation and test (CSET’10).Washington, DC, August 2010.

[14] O’Leary, Mike. “Small-Scale Cyber Security Competitions.” (2012).[15] Conti, Gregory, Thomas Babbitt, and John Nelson. “Hacking competitions

and their untapped potential for security education.” Security & Privacy, IEEE9.3 (2011): 56-59.

[16] Hoffman, Lance J., Timothy Rosenberg, Ronald Dodge, and Daniel Rags-dale. “Exploring a national cybersecurity exercise for universities.” Security& Privacy, IEEE 3, no. 5 (2005): 27-33.

[17] www.dunyayikurtaranhacker.com, 2012[18] http://www.istsec.org/ctfdetay/, 2009[19] http://blog.bga.com.tr/2011/05/istsec-istanbul-bilgi-guvenligi.html, 2011[20] http://www.bga.com.tr/calismalar/BGACTF2012 Cozumleri.pdf , 2012[21] Siber Guvenlik Yaz Kampı Duyurusu,

http://www.uekae.tubitak.gov.tr/home.do?ot=5&rt=&sid=0&pid=0&cid=9365,2013

[22] Ulusal Siber Guvenlik Tatbikatı 2013,http://www.tk.gov.tr/bilgi teknolojileri /siber guvenlik/usgt2013.php,Haziran, 2013

[23] http://www.signalsec.com/nopcon-ctf-cozumleri-ve-sunumlari ,6 Haziran2013, nopCON Security Conference

[24] http://www.davshan.com/, Haziran 2013[25] Unal TATAR, Tolga MATARACIOGLU: Analysis and Implementation of

Distinct Steganography Methods. pp.298-303[26] www.md5decrypter.co.uk, Mayıs 2013[27] http://rumkin.com/tools/cipher/caesar.php, Haziran 2013

Osman Akın, Hacettepe Universitesi Bilgisayar MuhendisligiBolumunde doktora ogrencisidir. Simdiye kadar web tabanlı uy-gulama gelistirme, web guvenligi konularında calısmıs olup suanda siber guvenlik konusunda calısmalarını devam ettirmektedir.Doktora programında tez asamasında olup Bilgisayarlı Gormealanında nesne takibi(object tracking) konusunda calısmaktadır.

Isıl Cınar, Gazi Universitesi Bilgisayar Muhendisligibolumunde yuksek lisans yapmaktadır. Bilgi SistemleriGuvenligi, Veri Madenciligi, Insan Bilgisayar Etkilesimialanlarına ilgi duymaktadır.

Muhammer Karaman, Siber guvenlik uzerine 2 yıldır uz-man olarak calısmaktadır. Kurumsal ve ulusal Siber Guvenlikyol haritaları belirleme, siber savas, siber-elektronik savas, siberguvenligin milli guvenlige entagrasyonu ve siber savas hukukukonularına ilgi duymaktadır.

Fatih Bilekyigit, Bilgi Sistemlerinin Isletmesi ve Ag topolo-jileri uzerine yaklasık 10 yılı askın bir sure calısmıs olup su ansiber guvenlik uzerine calısmaktadır.