Embed Size (px)
Citation preview
Siber Güvenlikte Ofansif Yaklaşımlar
Bâkır EMRE
Siber Güvenlik Konferansı 6 Kasım 2012 - Ankara
www.siberguvenlik.org.tr https://twitter.com/siberguvenlik
Giriş
• Defansif siber güvenlik? – 80ler Bilgi güvenliği kavramı – 90ların başı Güvenlik Duvarı – 90ların sonu Pentest – 00lerin ilk yarısı I[D|P]S – 00lerin ikinci yarısı Web uygulama güvenliği – 00lerin ikinci yarısı DLP,NAC
• Siber Güvenlik kapasiteleri – Ofansif çalışmalar – Siber Silah – Sızıntılara Karşı Ofansif Önlemler – Web site taramalarına Karşı Ofansif Önlemler
• Sonuç
80ler - Bilgi Güvenliği
80ler - Antivirus
Anti-Virus
• “We (the antivirus industry) failed on Flame” Mikko Hypponen
• 0-days
90lar - Güvenlik Duvarı
Güvenlik Duvarı
• TCP 443 -> ssh?
• UDP 53 -> RDP
• TCP 80 -> !http
90lar - Pentest
Açıklık bulunan sunucular Üretilen Rapor
00ler – I[D|P]S
I[D|P]S
• Throughput *
• Tespit Oranı? – False positive – False negative
*www.currentanalysis.com & www.tilera.com
Yeni Strateji
• Siber ortamda bulunan varlıkları koruma amaçlı
• Yeni stratejiler gerçeklemek gerekiyor!
• Daha Agresif daha ofansif
• Kimin, Neden saldırdığını bulmak gerekir
Siber Silah
• Stuxnet, öncesi ddos en önemli siber silah olarak görülüyordu!
• Eğer Uzaylılar yapmadı ise muhtemelen 2-3 şüphelisi var!
Siber Güvenlik Kapasitesi
• “Cyber Warfare: An Analysis of the Means and Motivations of Selected States”
Siber Güvenlik Kapasiteler
Siber Silah
• Siber füze!
Insansız Hava Aracı Hackleme
• Lockheed Martin RQ-170 Sentinel Kandehar yakınlarında düşürüldü.
• İran Yetkilileri GPS Spoofing kullanarak hava aracını güvenli bir şekilde indirdiklerini söylediler
Sızıntı
• Kamu kurumlarına ait gizli belgeler
• Özel şirketlere ait patentler, anlaşmalar çalışan/müşteri bilgileri
IP Takibi
• IP takibi
– Çalınan / Sızdırılan MS Word belgesini kimler nerede açmış!
Word ile IP İzleme
$ vi gizlidosya.doc
<html>
<body>
<h1> Gizli Dosya </h1>
<p>test</p>
<style type="text/css">@import url(http://www.abckurumu.gov.tr/iptrack/default.css);</style>
</body>
</html>
tail -f http-acces.log
83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "OPTIONS /iptrack/
HTTP/1.1" 200 8027 "-" "Microsoft Office Protocol Discovery«
83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "GET
/iptrack/default.css HTTP/1.1" 200 1362 "-" "Mozilla/4.0 (compatible;
MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727;
SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0;
.NET4.0C; InfoPath.3; .NET4.0E; ms-office; MSOffice 14)"
Anonimity
• Gerçek IP adresi ile erişsin!
• Public Proxy’ler ile erişimi yasak
• TOR ağı ile erişim yasak!
Anonimliği engelleyin!
https://github.com/lfamorim/barrelroll/tree/master/full_list
Sahte Yönetim Paneli Sayfası
• ABC kurumu Yönetim Paneli http://admin.abckurumu.gov.tr
http://yonetim.abckurumu.gov.tr
http://www.abckurumu.gov.tr/admin
http://www.abckurumu.gov.tr/yonetim
http://www.abckurumu.gov.tr/hattorihanzo
Sahte Yönetim Paneli
<?
if($_POST['username']) { sleep(10);
$filename = ”sazan.txt";
$date = date('l jS \ F Y h:i:s A');
$handle = fopen($filename,"a+");
$content = "Username: $_POST[username] , Password: $_POST[password] $date ... $_SERVER[REMOTE_ADDR] \n";
fwrite($handle,$content); fclose($handle); echo "<br/><b>Yanlış kullanıcı adı ya da parola. Lütfen yeniden deneyin</b><br/><br/>"; } ?>
Web Sunucu Başlık bilgisi
• “Troll”lük yapın!
• Web sunucu header bilgisini değiştirin!
User agent string
• Nikto, w3af, acunetix, netsparker vs.
• Teleport, ReGET,SiteSnagger, JetCar vs
Sahte sayfalarda dolaştırın
• Weblabyrinth
– Sahte site haritası oluşturur.
– Web açıklık tarayıcılarının sahte sayfalarda dolaşmasını sağlar
– Googlebot’lara bu site indexlenmesin denebilir.
weblabyrinth
Sonuç
• Defans şart ama yeterli değil!
• Uymamız gereken kurallar var – Onların yok!
• Siber Güvenlik Stratejisinde, Doktrinde ofansif yaklaşımlara yer verilmeli
• hack-back yasal mı? – Zararlı yazılımları herkesin ulaşabileceği şekilde
sisteminize koymayın
– Uyarın
Teşekkürler
Sorular?
