SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec ‘14 siber Güvenlik Konferansı 2014/Le>oşe BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR

Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr TwiZer: @bgasecurity/@huzeyfeonal

SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec ‘14 siber Güvenlik Konferansı 2014/Le>oşe BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR CypSec ’14 Siber Güvenlik Konferansı / Le>oşe BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR

Huzeyfe ÖNAL •  Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA

•  PenetraAon Tester •  Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ – Bilgi / Bahçeşehir Üniversitesi

•  Blogger -‐ www.lifeoverip.net


Amaç •  Siber dünyanın sadece bir eğlence aracı değil, dünyanın gidişa<nı değişArecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının örneklerle anlaşılmasını sağlamak.

•  Internet ortamında yasal/yasadışı izlemeler nasıl gerçekleşArilir, nasıl korunulur hakkında bilgi vermek.


Özlü söz •  Önce korunmak için teknoloji üreArsiniz, sonra düşmanlarınız o teknolojiyi size karşı kullanır, ardından gelişArdiğiniz teknoloji ile savaşmak zorunda kalırsınız (Anonim)…



Internet Nasıl Çalışır?

Internet, temeli 1970’li yıllarda a<lmış askeri bir protokol olan TCP/IP üzerinde çalışır.


Internet’te Güvenlik / Gizlilik •  Internet ortamında gizlilik (ileAşim için) temelde iki şekilde gerçekleşArilir:

•  1-‐)İleAşim protokollerini güvenli –şifreli-‐ hale geArerek gizlilik.

•  2-‐)İleAşim protokollerinden bağımsız olarak sadece içeriği özel araçlarla – her iki taraf da aynı algoritma kullanmalı-‐ şifreleyerek gizleme

•  İlk yöntem daha sık kullanılmakta, ikinci yöntem daha güvenli kabul edilmektedir.

•  İlk yöntem merkezi güven ve kontrol sağladığı için daha kolay, ikinci yöntem daha uğraş<rıcıdır.

•  Güvenlik sadece gizlilik demek değildir (note for geeks)


Internet Trafiğinde Araya Girme •  Pasif araya girme (Yasal süreçlerle desteklenir) •  Hizmet aldığınız ISP/Telekom firması tarahndan yapılır.

•  Yerel ağ, Wifi icin MITM(arpspoof, DHCP spoofing) Teknikleri

•  Internet üzerinde yasal olmayan BGP yönlendirmeleri kullanarak.

•  Bilgisayara uzaktan zararlı yazılım yükleyerek. •  DNS sunucuları zehirleyerek / ele geçirerek •  TAP cihazları kullanarak (pasif , monitor amaçlı)


Internet İzleme Sistemleri •  Amaç: Kişilerin internet trafiğini belirli amaçlar doğrultusunda izlemek ve aksiyon almak

•  İzleme/Dinleme (Sniffing) sistemlerinin işe yaraması için akan trafiğin “clear text” olması gerekir.

•  Şifreli trafik izlenebilir fakat anlamlı bir bilgi edinilemez.

•  Genellikle “suyun başına” kurulur ve pasif çalışırlar.


Yasal İzleme/Lawful IntercepAon •  Kanunlar çerçevesinde yapılan izleme •  Genellikle ISP seviyesi izleme gerçekleşArilir. •  Bu Ap izlemelerde “akAf işlem” durumu yoksa internet trafiği takip al<na alınan kişinin durumu anlaması imkansızdır (TAP sistemler üzerinden pasif dinleme)

•  5651 sayılı kanun gereksinimleri – Son kullanıcıyı ilgilendiren kısımlar – URL engelleme, DPI işlemleri v.s


Yasal Olmayan(Yarı Yasal) İzleme


Yasal Olmayan AkAf İzleme -‐Örnek

Tunus Gmail Örneği


Tunus Facebook JS InjecAon Örneği


DPI (Deep Packet InspecAon) Kavramı •  DPI=Derinlemesine Paket Analizi •  PakeAn ötesinde taşınan protokole ait başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması – Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala

– Facebook’ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.

– Youtube’da Klm videosunu engelle – Twiyer’da @yaramaz hesabını “buzla” J


Paket Başlık Bilgileri •  Mektup zarf ilişkisi •  Amaç mektubu meraklı gözlerden Koruyarak hedefe ileAlmesini sağlamak.

•  Zarf=header=başlık bilgisi •  PakeAn nereye gideceğini belirler. •  Mektup=payload=gerçek veri Taşımak istediğimiz veri. Her protokolün header kısmı ve Payload kısmı farklı olabilir. Firewall-‐>Header IPS-‐ >Payload


DPI(Deep Packet InspecAon) Örneği

alert tcp $HOME_NET any -‐> $EXTERNAL_NET $HTTP_PORTS (\ msg:"ET P2P ABC Torrent User-‐Agent (ABC/ABC-‐3.1.0)"; \ flow:to_server,established; \ content:"User-‐Agent\: ABC/ABC"; nocase; \ sid:2003475;)

alert hyp $HOME_NET any -‐> $EXTERNAL_NET any (\ msg:"ET P2P ABC Torrent User-‐Agent (ABC/ABC-‐3.1.0)"; \ header.useragent:"ABC/ABC"; \ sid:2003475;)

Hatalı DPI Kuralı

Doğru DPI Kuralı


Data Carving… •  Ham veriden orijinal veri elde etme yöntemi

1010101 1010101010101010101010101010

101

Sniffer

Data Carving


Network Data Carving •  Sniffer kullanarak kaydedilmiş ikili(binary) dosyalardan(.pcap forma<nda veya farklı formatlarda) orjinal veri elde etmek

•  Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma – Echelon man<ğı – Günümüzdeki DLP sistemlerinin atası sayılabilir

•  Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir, kaydedebilir.

•  Network forensic çalışmalarının temelini oluşturur


Örnek Uygulama:Eeye Iris

19


Trafik İçinde Veri Arama •  Uygulama.


DPI Panzehiri(!) Şifreleme (SSL/TLS) •  DPI benzeri ağ tabanlı izleme/analiz sistemlerinin başarılı olarak sonuç verebilmesi için trafiğin “açık – okunabilir” olması gerekir.

•  Şifreli trafikte paketlerin sadece header (başlık) kısmı açık olarak ileAldiği için asıl önemli kısmın (payload) okunması normal yollardan mümkün olmamaktadır.

•  SSL doğası gereği “merkezi güvenlik “ merkezi otorite kavramları ile çalış<ğı için DPI sistemleri şartlar yerine geArildiğinde şifreli trafiği de inceleyebilir, kayıt al<na alabilir.


SSL/TLS Nedir, Nasıl Çalışır?

•  Güvensiz protokollere şifreleme desteği verme amaçlı gelişArilmiş ara katman protokolleridir.

•  HTTPS=TLS+HTTP veya SSL+HTTP •  Birbirleri yerine kullanılsa da temelde farklı protokollerdir.

•  HTTPS/TLS/SSL sadece ileAşimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz.


SSL •  Secure Sockets Layer (SSL) •  Temelleri Netscape firması tarahndan 1994 yılında a<lan SSL aynı yılda Acari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarahndan standart olarak Kabul edildi.

•  Aslında standar<n asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir.

•  İlk zamanlar sadece HTTP trafiğini şifreleme amaçlı gelişArilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.


HTTPS •  WEB trafiğinde şifreleme sağlama amaçlı gelişArilmiş protokol – HTTP+TLS veya HTTP+SSL


SSL Güvenliği Nelere Bağlıdır? •  SSL kullanım ve yöneAm kolaylığı açısından merkezi bir güvenlik modeline sahipAr. Bizlerin kime güveneceği merkezi otoriteler tarahndan kontrol edilip onaylanır. –  Istenildiği takdirde otorite secme islemini kullanıcı yapabilir.

•  SSL’in temel güvenliği SerAfika Otoritesi olarak adlandırılan aracı kurumlar ve bu kurumlar bünyesinde tutulan gizli anahtarla ağlanır. – Noter’in mührü gibi…

•  Anahtarın kaybı durumunda…?


SerAfika Otoritesi •  PKI altyapısının dayandığı en temel güvenlik bileşeni •  SerAfika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve yaygınlaşmasındaki en önemli rollerden birine sahipAr.

•  SSL’in güvenliğinde serAfika otoritesi tüm gücü elinde bulundurur.

•  SerAfika otoritesinde yaşanacak bir güvenlik problemi sadece o serAfika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir. – Diginotar olayı


SerAfika Otoriteleri •  En önemli kurumlardır •  SerAfika otoritesinin ele geçirilmesi o otorite tarahndan onaylanan tüm serAfikaları güvensiz hale geArir.


GKA-‐ Government Key Access


10 Puanlık Al<n Soru

Kaçımız yeni aldığı bilgisayarında, tableAnde, mobil cihazında yüklü olan güvenilir olarak kabul edilmiş serAfika otoritelerini(CA) kontrol e�?


Şifreli Trafiği Takip ve İzleme Yöntemleri •  SSL bağlan<larında araya girme fikri ilk bakışta zor haya imkansız gibi görülse de gerekli şartlar oluşturulduğunda oldukça kolay başarılabilmektedir

•  Gerekli Şartlar: –  İlk olarak hedef sistemin trafiği üzerinizden geçecek şekilde kandırılmalıdır/ayarlanmalı.

– Hedef sistemin ileAşim kurmak istediği HTTPS sayfasına ait serAfika bilgileri ile sahte bir serAfika oluşturulmalıdır.

•  Sahte oluşturulan bu serAfika tüm modern browserlarda kullanıcıya uyarı verecekAr.

•  Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da oldukça rahatsız edici ve problemi belirAci uyarılarla gösterirler.

30


SSL Nasıl Alt Edilir? •  SSL güvenliğindeki en önemli bileşen serAfika otoritesidir. – SerAfika otoritesi tek başına işe yaramaz, istemci yazılımları tarahndan güvenilir olarak kabul edilmelidir.

•  Dünya üzerindeki serAfika otoritelerinden birinin hacklenmesi ve serAfika üreAm için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL kullanımını anlamsız kılabilir! –  İsAsnalar mevcuyur.

•  Güvenilir bir serAfika otoritesi tarahndan onaylanmış serAfikalar hatasız işleme alınır.


SSL MITM Yöntem-‐I (eski)

Firefox

Internet Explorer 7


SSL MITM Yöntem-‐II (güncel) •  sslstrip


SSL MITM Yöntem-‐III •  Client side exploitaAon yöntemi


SSL MITM Yöntem-‐IV •  Sahte ama geçerli CA(serAfika otoritesi) yetkilerini kullanarak tek taraflı SSL/TLS trafiğini çözme.


Uygulama


Tunus SerAfika Otoritesi Kullanımı •  Tunus hükümeA HTTPS kullanan bazı sitelere üye muhalif grupları belirlemek, engellemek için kendisine bağlı serAfika otoritesi(Microso� tarahndan güvenilir olarak kabul edilen)ni HTTPS kullanan siteler bağlananları izlemek için kullandı. – Detaylar için wikileaks belgeleri


SSL Sorununu Kökten Çözen Ülke:İran


Şifreli Trafiğin İzlenmesine Karşı Ek Önlemler •  HSTS(HTTP Strict Transport Security) – uygulama

•  CerAficate Pinning – SerAfika Sabitleme – uygulama


Firefox HSTS /CP EklenAsi


İzle(n)meye Karşı Ek Önlemler •  Çoğu popüler web hizmeA tüm trafiği şifreleyecek şekilde SSL hizmeA sunmaya başlamış<r.

•  Öncüsü Google •  Facebook •  Hotmail •  Twiyer •  Hotmail •  …


Twiyer Şifreleme Kanalı (SSL) Desteği


Facebook Şifreleme Kanalı (SSL) Desteği


Gmail Şifreleme Kanalı (SSL) Desteği •  Gmail SSL’e geçiş serüveninin öncülerinden…


Hotmail Şifreleme Kanalı (SSL) Desteği

•  Öntanımlı olarak SSL açık gelmiyor


Güvenli(?) İnternet Erişim Yöntemleri


TOR Üzerine NSA Uğraşları

CypSec ‘14 siber Güvenlik Konferansı 2014/Le>oşe BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR

Bilgi Güvenliği AKADEMİSİ