Upload
siber-guevenlik-toplululugu
View
68
Download
5
Embed Size (px)
Citation preview
UYGULAMA GÜVENLIĞI VE GELECEK HAKKıNDA TAHMINLER TAHMINLERIN ÇOĞU ÇıKMAYABILIR
KIMIM BEN ?
• Caner Özden
• Matematik ve Bilgisayar Bilimleri
• Yazılım Uzmanı ve Bilgi Güvenliği Kıdemli Uzmanı
• Aselsan, Havelsan, BGA, Avea, TT Grup
• twitter.com/canerozden
SUNUMDA NELER VAR ?
• Uygulama güvenliği ne ola ki ?
• Neden uygulama güvenliği ? Trend mi yoksa ?
• Bu alanda ilerlersek çok para kazanılır mı ?
• Bordrolu, SGK’lı Hacker
• Gelecekte neler olur ?
TAHMINLER
• Hendy Ford ilk Ford araçlarını ürettiği zaman insanların sadece siyah ve tek
tip araç isteyeceğini iddaa ederek farklı model araç üretimini gerekli
görmemiştir.
• Televizyon en geç altı ay içinde piyasadan silinecektir. İnsanlar her akşam
böyle bir kutuya bakmak istemezler. Daryik F. Zanuck
• http://tr.wikiquote.org/wiki/Bilimsel_gaflar
• Tahminler sadece tahmindir, ayrıca hatasız kul olmaz.
UYGULAMA GÜVENLIĞI NEDIR ?
• Güvenliğin tanımı aksiyomatik, vakit kaybetmeye gerek yok, kabul edelim
herkes güvenlik ister. (En çok şirketler !)
• Güvenliğin Türleri
- Ağ Güvenliği
- Sistem Güvenliği
- Uygulama Güvenliği
İLK ZAMANLAR
• Ağ Güvenliği önemliydi, tam standartlar belirlenmiş değildi.
• Şirketlerde ağ kurulumu bile yeni idi.
• Bir musibet bin nasihattan iyidir. (Güvenlik zamanla anlaşılmaya başlandı)
UYGULAMA GÜVENLIĞI NEDIR ?
• Uygulama güvenliği, yazılımların kod seviyesinde yapılan hatalardan dolayı,
bilgi sızdırılması veya sistemlerin ele geçirilmesi ile sonuçlanan olayları
inceleyen bilim dalı, ilgi alanı.
UYGULAMALARDAKI HATALAR
• Yazılım geliştiricilerin gerçekleştirmesi gereken çok fazla görev var.
• Fonksiyonellik
• Hatasız çalışma
• Kullanım kolaylığı
• Zaman kısıtı
DEADLINE GELİŞTİRİCİNİN DÜŞMANI
• Saldırganlar yazılımcıların yaptıkları yazılımsal hatalardan yararlanırlar.
• Zaman kısıtı altında ve standartlara uygun geliştirilmeyen yazılımlar
• Sürekli iş değiştiren yazılımcılar
• Kodlar bir zaman sonra karışıyor (Spagetti kod)
NE TIP HATALAR
• Şüpheci Yaklaşım
• Doğrulama Eğilimi
• Akışkan ve saydam bir sıvının su olma öngörüsü
• Userid değişkeninin integer alma öngörüsü
NE TIP HATALAR
• Girdi Denetimi -> En önemlisi
• İş mantığındaki hatalar
HATA VE BILGI MESAJLARINDAN FAYDALANMAK
OWASP
• Open Web Application Security Project
• Web uygulamalarının güvenliği ile ilgilenen bir kuruluş, kar amacı gütmez.
• Her sene en çok çıkan 10 zafiyet türünü belirleyip, konu hakkında yayınlar
çıkarır.
HATALARI ÖNCEDEN BELIRLEMEK
• Uygulama güvenlik uzmanlarının en temel görevlerinden biri, geliştirilmiş ve
canlı ortama çıkmak üzere hazırlanmış uygulamaları güvenlik açısından
inceleyerek bu hata durumlarını raporlayıp, düzeltilmesine yardımcı olmaktır.
HATALAR NASIL BELIRLENIR
• Tehdit Modelleme
• Kaynak Kod Analizi
• Uygulama Zafiyet Testi (Pentest diye de bilinir)
TEHDIT MODELLEME
• Uygulama tehdit modelleme, uygulamaların functional ve non-functional
özelliklerini içeren tasarımlar üzerinde abuse case (use case’den hatırlayın)
çizerek, olası güvenlik zafiyetleri ile ilgili sorunları ortaya çıkarmak için
yapılan işlemdir.
TEHDIT MODELLEME
MICROSOFT SECURE SDLC
• Oooooooo Microsoft mu ? Yoksa sen ?!?
• Owasp Secure SDLC konusunda en çok Microsoft yayınlarından faydalanır.
• Adam Shostack (Microsoft Secure SDLC ve Thread Modeling)
KAYNAK KOD ANALIZI
• Kod güvenlik açısından incelenir, zafiyet içeren kod desenleri taranarak
raporlanır.
• HP Fortify
• IBM Appscan
• Checkmarx (Yeni bir startup, Israil’de)
CHECKMARX WWW.GAMEOFHACKS.COM
GAME OF HACKS - SORULAR
PENETRASTON TESTLERI / PENTEST
• 3’e ayrılır.
- Black Box (Saldırgan Gözü)
- White Box (Bilgi Alarak)
- Grey Box (Karışık)
PENTEST NEDIR
• Uygulamalar saldırgan gözü ile denetlenerek hack’lenmeye çalışılır.
• Sadece uygulama güvenliği ile ilgili değil, network zafiyetleri de incelenir.
• Otomatize araçlar ve manuel olarak gerçekleştirilir.
OTOMATIZE ARAÇLAR
• Netsparker (Türkiye girişimi)
• Acunetix
• IBM Appscan
• HP Web Inspect
MANUELDE KULLANıLAN ARAÇLAR
• Burp Suite (Tek geçerim)
• Owasp ZAP
• SQL Map
• Kali Linux içerisindeki araçlar
ZAFIYET TÜRLERI
HEPSINE BAKMAK IMKANSıZ
• Bir uygulama güvenliği eğitimi en az 3 gün sürmekte.
• Yazılım geliştirme tecrübesi
• Deneme, deneme, deneme !
MAP.IPVIKING.COM
• Zafiyetleri real-time izleme
SEKTÖR HAKKINDA TAHMINLER 1
• Güvenlik denetimlerinde pentest’in yerini Secure SDLC ve Kaynak Kod Analizi
alacak
• Oraya yönelin !
• Soru ???
SEKTÖR HAKKINDA TAHMINLER 2
• Güvenlik önlemleri artık framework’lere daha fazla bırakılmaya başlanacak.
• Geleneksel güvenliğin yeri daha fazla sistemlere devredilmeye başlanacak.
SEKTÖR HAKKINDA TAHMINLER 3
• Geleneksel güvenlik araçlarını yerini yeni nesil araçlar alacak.
• Yeni nesil güvenlik aracı nedir ?
• İmza tabanlı araçların yerini davranışsal analiz yapan araçlar alacak.
SEKTÖR HAKKINDA TAHMINLER 4
• Incident Response (Anında Müdahale) ekipleri revaçta
• Computer Forensics öğrenmeye bakın.
• Pentest bilmeden olmaz !!!
SEKTÖR HAKKINDA TAHMINLER 5
• Zero day ataklar artacak
• Önlem mekanizmaları neler olabilir ?
• Araştırma konusu ???
• Yeni start up’lar çıkabilir.
BLOG TUTUN !!!
• Yaptığım en büyük hata
• Kitap okuyun !
• Sürekli deneme yapın !!!
DEMO
• Shape Security
• Malware ve RoBot’lara karşı önlemler
BOTWALL
• Post datası üzerinde obfuscation işlemi
• Sıralamayı karıştırmak
• Başka neler yapılabilir ?
• Tüm HTML ve HTTP elemanları
PERFORMANS
• Bu sistemdeki tek sorun performans sorunu yaşanması
• WAF ile entegrasyon yapılabilir.
• PoC için IIS Module yazılmakta.
• Html ve Javascript parsing işlemi için AST kullanılıyor. (Abstract syntax tree)
SORULAR