48
CypSec ‘14 siber Güvenlik Konferansı 2014/Le>oşe BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr TwiZer: @bgasecurity/@huzeyfeonal SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

Embed Size (px)

Citation preview

Page 1: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Huzeyfe  ÖNAL  Bilgi  Güvenliği  AKADEMİSİ  www.bga.com.tr  TwiZer:  @bgasecurity/@huzeyfeonal  

SSL,  DPI  Kavramları  Eşliğinde  Internet  Trafiği  İzleme  ve  Karşı  Güvenlik  Önlemleri  

Page 2: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Huzeyfe  ÖNAL  •  Bilgi   Güvenliği   Danışmanı   &   Ağ   Güvenliği  Araş<rmacısı  @BGA  

•  PenetraAon  Tester  •  Eğitmen  – Bilgi  Güvenliği  AKADEMİSİ  – Linux  AKADEMİ  – Bilgi  /  Bahçeşehir  Üniversitesi  

•  Blogger  -­‐  www.lifeoverip.net  

Page 3: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Amaç  •  Siber   dünyanın   sadece   bir   eğlence   aracı   değil,  dünyanın   gidişa<nı   değişArecek,   yeni   bir   düzenin  kurulumundaki   önemli   oyunculardan   biri   olduğu  göstermek   ve   bu   kadar   önemli   bir   yapının   başıboş  bırakılamayacağının   örneklerle   anlaşılmasını  sağlamak.  

•  Internet  ortamında  yasal/yasadışı  izlemeler  nasıl  gerçekleşArilir,  nasıl  korunulur  hakkında  bilgi  vermek.  

Page 4: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Özlü  söz  •  Önce  korunmak  için  teknoloji  üreArsiniz,  sonra  düşmanlarınız  o  teknolojiyi  size  karşı  kullanır,  ardından  gelişArdiğiniz  teknoloji    ile  savaşmak  zorunda  kalırsınız  (Anonim)…  

Page 5: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Page 6: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Internet  Nasıl  Çalışır?  

Internet,  temeli  1970’li  yıllarda  a<lmış  askeri  bir  protokol  olan  TCP/IP  üzerinde  çalışır.  

Page 7: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Internet’te  Güvenlik  /  Gizlilik  •  Internet   ortamında   gizlilik   (ileAşim   için)   temelde   iki  şekilde  gerçekleşArilir:  

•  1-­‐)İleAşim  protokollerini  güvenli  –şifreli-­‐  hale  geArerek  gizlilik.  

•  2-­‐)İleAşim   protokollerinden   bağımsız   olarak   sadece  içeriği   özel   araçlarla   –   her   iki   taraf   da   aynı   algoritma   kullanmalı-­‐  şifreleyerek  gizleme  

•  İlk   yöntem  daha   sık   kullanılmakta,   ikinci   yöntem  daha  güvenli  kabul  edilmektedir.  

•  İlk  yöntem  merkezi  güven  ve  kontrol  sağladığı  için  daha  kolay,  ikinci  yöntem  daha  uğraş<rıcıdır.  

•  Güvenlik  sadece  gizlilik  demek  değildir  (note  for  geeks)  

Page 8: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Internet  Trafiğinde  Araya  Girme  •  Pasif  araya  girme  (Yasal  süreçlerle  desteklenir)  •  Hizmet   aldığınız   ISP/Telekom   firması   tarahndan  yapılır.  

•  Yerel   ağ,  Wifi   icin  MITM(arpspoof,   DHCP   spoofing)  Teknikleri  

•  Internet  üzerinde  yasal  olmayan  BGP    yönlendirmeleri  kullanarak.  

•  Bilgisayara  uzaktan  zararlı  yazılım  yükleyerek.  •  DNS  sunucuları  zehirleyerek  /  ele  geçirerek  •  TAP  cihazları  kullanarak  (pasif  ,  monitor  amaçlı)  

Page 9: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

 Internet  İzleme  Sistemleri  •  Amaç:   Kişilerin   internet   trafiğini   belirli   amaçlar  doğrultusunda  izlemek  ve  aksiyon  almak  

•  İzleme/Dinleme  (Sniffing)  sistemlerinin  işe  yaraması  için  akan  trafiğin  “clear  text”  olması  gerekir.  

•  Şifreli   trafik   izlenebilir   fakat   anlamlı   bir   bilgi  edinilemez.  

•  Genellikle  “suyun  başına”  kurulur  ve  pasif  çalışırlar.  

Page 10: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Yasal  İzleme/Lawful  IntercepAon  •  Kanunlar  çerçevesinde  yapılan  izleme  •  Genellikle  ISP  seviyesi  izleme  gerçekleşArilir.  •  Bu  Ap  izlemelerde  “akAf  işlem”  durumu  yoksa  internet  trafiği  takip  al<na  alınan  kişinin  durumu  anlaması  imkansızdır  (TAP  sistemler  üzerinden  pasif  dinleme)  

•  5651  sayılı  kanun  gereksinimleri    – Son  kullanıcıyı  ilgilendiren  kısımlar  – URL  engelleme,  DPI  işlemleri  v.s  

Page 11: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Yasal  Olmayan(Yarı  Yasal)  İzleme  

Page 12: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Yasal  Olmayan  AkAf  İzleme  -­‐Örnek  

Tunus  Gmail  Örneği  

Page 13: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Tunus  Facebook  JS  InjecAon  Örneği  

Page 14: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

DPI  (Deep  Packet  InspecAon)  Kavramı  •  DPI=Derinlemesine  Paket  Analizi  •  PakeAn  ötesinde  taşınan  protokole  ait  başlık+gövde(hader+payload)  bilgilerini  detaylıca  incelemeye  tabi  tutularak  paket  üzerinde  gerekli  işlemlerin  yapılması  – Sadece  XYZ  protokolünde  içerisinde  ABC  geçen  paketleri  yakala  

– Facebook’ta  ABC  oyununu  bu  ay  tüm  abonelere  ücretsiz  kullanım  hakkı  ver.  

– Youtube’da  Klm  videosunu  engelle  – Twiyer’da  @yaramaz  hesabını  “buzla”  J  

Page 15: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Paket  Başlık  Bilgileri  •  Mektup  zarf  ilişkisi    •   Amaç  mektubu  meraklı  gözlerden    Koruyarak  hedefe  ileAlmesini  sağlamak.  

•  Zarf=header=başlık  bilgisi  •  PakeAn  nereye  gideceğini  belirler.  •  Mektup=payload=gerçek  veri  Taşımak  istediğimiz  veri.  Her  protokolün  header  kısmı  ve    Payload  kısmı  farklı  olabilir.  Firewall-­‐>Header  IPS-­‐  >Payload  

Page 16: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

DPI(Deep  Packet  InspecAon)  Örneği  

alert  tcp  $HOME_NET  any  -­‐>  $EXTERNAL_NET  $HTTP_PORTS  (\  msg:"ET  P2P  ABC  Torrent  User-­‐Agent  (ABC/ABC-­‐3.1.0)";  \  flow:to_server,established;  \  content:"User-­‐Agent\:  ABC/ABC";  nocase;  \  sid:2003475;)  

alert  hyp  $HOME_NET  any  -­‐>  $EXTERNAL_NET  any  (\  msg:"ET  P2P  ABC  Torrent  User-­‐Agent  (ABC/ABC-­‐3.1.0)";  \  header.useragent:"ABC/ABC";  \  sid:2003475;)  

Hatalı  DPI  Kuralı  

Doğru  DPI  Kuralı  

Page 17: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Data  Carving…  •  Ham  veriden  orijinal  veri  elde  etme  yöntemi  

1010101  1010101010101010101010101010

101  

Sniffer  

Data  Carving  

Page 18: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Network  Data  Carving  •  Sniffer  kullanarak  kaydedilmiş  ikili(binary)  dosyalardan(.pcap  forma<nda  veya  farklı  formatlarda)  orjinal  veri  elde  etmek  

•  Akan  ağ  trafiği  üzerinde  belirli  şartlara  göre  izleme  yapma  – Echelon  man<ğı  – Günümüzdeki  DLP  sistemlerinin  atası  sayılabilir  

•  Iki  uç  haberleşirken  aradaki  dinleme  sistemleri  iki  uç  ne  görüyorsa  aynısını  görebilir,  dinleyebilir,  kaydedebilir.  

•  Network  forensic  çalışmalarının  temelini  oluşturur  

Page 19: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Örnek  Uygulama:Eeye  Iris  

19  

Page 20: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Trafik  İçinde  Veri  Arama    •  Uygulama.  

Page 21: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

DPI  Panzehiri(!)  Şifreleme  (SSL/TLS)  •  DPI  benzeri  ağ  tabanlı  izleme/analiz  sistemlerinin  başarılı  olarak  sonuç  verebilmesi  için  trafiğin  “açık  –  okunabilir”  olması  gerekir.  

•  Şifreli  trafikte  paketlerin  sadece  header  (başlık)  kısmı  açık  olarak  ileAldiği  için  asıl  önemli  kısmın  (payload)  okunması  normal  yollardan  mümkün  olmamaktadır.  

•  SSL  doğası  gereği  “merkezi  güvenlik  “  merkezi  otorite  kavramları  ile  çalış<ğı  için  DPI  sistemleri  şartlar  yerine  geArildiğinde  şifreli  trafiği  de  inceleyebilir,  kayıt  al<na  alabilir.  

Page 22: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL/TLS  Nedir,  Nasıl  Çalışır?  

•  Güvensiz  protokollere  şifreleme  desteği  verme  amaçlı  gelişArilmiş  ara  katman  protokolleridir.  

•  HTTPS=TLS+HTTP  veya  SSL+HTTP  •  Birbirleri  yerine  kullanılsa  da  temelde  farklı  protokollerdir.  

•  HTTPS/TLS/SSL  sadece  ileAşimde  veri  gizliliği  sağlar,  hedef  sistemin  güvenlik  zaafiyetlerine  karşı  ek  bir  koruma  sağlamaz.  

Page 23: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  •   Secure  Sockets  Layer  (SSL)    •  Temelleri  Netscape  firması  tarahndan  1994  yılında  a<lan  SSL  aynı  yılda  Acari  olarak  piyasaya  sürüldü  ve  bir  sonraki  yıl  IETF  tarahndan  standart  olarak  Kabul  edildi.  

•  Aslında  standar<n  asıl  ismi  TLS  olmasına  rağmen  genellikle  SSL  kullanımı  tercih  edilmektedir.  

•  İlk  zamanlar  sadece  HTTP  trafiğini  şifreleme  amaçlı  gelişArilmiş  olsa  da  günümüzde  TCP,  UDP  tabanlı  tüm  servisleri  şifreleme  amaçlı  kullanılmakta.  

Page 24: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

HTTPS  •  WEB  trafiğinde  şifreleme  sağlama  amaçlı  gelişArilmiş  protokol  – HTTP+TLS  veya  HTTP+SSL  

Page 25: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  Güvenliği  Nelere  Bağlıdır?  •  SSL  kullanım  ve  yöneAm  kolaylığı    açısından  merkezi  bir  güvenlik  modeline  sahipAr.  Bizlerin  kime  güveneceği  merkezi  otoriteler  tarahndan  kontrol  edilip  onaylanır.  –  Istenildiği  takdirde  otorite  secme  islemini  kullanıcı  yapabilir.  

•  SSL’in  temel  güvenliği  SerAfika  Otoritesi  olarak  adlandırılan  aracı  kurumlar  ve  bu  kurumlar  bünyesinde  tutulan  gizli  anahtarla  ağlanır.  – Noter’in  mührü  gibi…  

•  Anahtarın  kaybı  durumunda…?  

Page 26: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SerAfika  Otoritesi  •  PKI  altyapısının  dayandığı  en  temel  güvenlik  bileşeni  •  SerAfika  otoritesi  SSL  kavramının  günümüzde  güvenilir  olarak  kabul  edilmesi  ve  yaygınlaşmasındaki  en  önemli  rollerden  birine  sahipAr.  

•  SSL’in  güvenliğinde  serAfika  otoritesi  tüm  gücü  elinde  bulundurur.  

•  SerAfika  otoritesinde  yaşanacak  bir  güvenlik  problemi  sadece  o  serAfika  otoritesini  kullanan  değil,  tüm  SSL  kullanıcılarını  etkileyebilir.  – Diginotar  olayı  

Page 27: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SerAfika  Otoriteleri    •  En  önemli  kurumlardır  •  SerAfika  otoritesinin  ele  geçirilmesi  o  otorite  tarahndan  onaylanan  tüm  serAfikaları  güvensiz  hale  geArir.  

Page 28: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

GKA-­‐  Government  Key  Access  

Page 29: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

10  Puanlık  Al<n  Soru  

Kaçımız  yeni  aldığı  bilgisayarında,  tableAnde,  mobil  cihazında  yüklü  olan  güvenilir  olarak  kabul  edilmiş  serAfika  otoritelerini(CA)  kontrol  e�?  

Page 30: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Şifreli  Trafiği  Takip  ve  İzleme  Yöntemleri  •  SSL  bağlan<larında  araya  girme  fikri  ilk  bakışta  zor  haya  imkansız    gibi  görülse  de  gerekli  şartlar  oluşturulduğunda  oldukça  kolay  başarılabilmektedir  

•  Gerekli  Şartlar:  –  İlk  olarak  hedef  sistemin  trafiği    üzerinizden  geçecek  şekilde  kandırılmalıdır/ayarlanmalı.  

– Hedef  sistemin  ileAşim  kurmak  istediği  HTTPS  sayfasına  ait  serAfika  bilgileri  ile  sahte  bir  serAfika  oluşturulmalıdır.  

•  Sahte    oluşturulan  bu  serAfika  tüm  modern  browserlarda  kullanıcıya  uyarı  verecekAr.  

•  Bazı  browserlar  bu  uyarıyı  oldukça  kullanıcı  yanlısı  (rahatsız  etmeyici  yumusak  bir  mesaj)  bazıları  da  oldukça  rahatsız  edici  ve  problemi  belirAci  uyarılarla    gösterirler.  

30  

Page 31: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  Nasıl  Alt  Edilir?  •  SSL  güvenliğindeki  en  önemli  bileşen  serAfika  otoritesidir.  – SerAfika  otoritesi  tek  başına  işe  yaramaz,  istemci  yazılımları  tarahndan  güvenilir  olarak  kabul  edilmelidir.  

•  Dünya  üzerindeki  serAfika  otoritelerinden  birinin  hacklenmesi  ve  serAfika  üreAm  için  kullanılan  gizli  anahtarın  ele  geçirilmesi  tüm  dünyadaki  SSL  kullanımını  anlamsız  kılabilir!  –  İsAsnalar  mevcuyur.  

•  Güvenilir  bir  serAfika  otoritesi  tarahndan  onaylanmış  serAfikalar  hatasız  işleme  alınır.  

Page 32: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  MITM  Yöntem-­‐I  (eski)  

Firefox  

Internet  Explorer  7  

Page 33: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  MITM  Yöntem-­‐II  (güncel)  •  sslstrip  

Page 34: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  MITM  Yöntem-­‐III  •  Client  side  exploitaAon  yöntemi  

Page 35: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  MITM  Yöntem-­‐IV  •  Sahte  ama  geçerli  CA(serAfika  otoritesi)  yetkilerini  kullanarak  tek  taraflı  SSL/TLS  trafiğini  çözme.  

Page 36: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Uygulama  

Page 37: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Tunus  SerAfika  Otoritesi  Kullanımı  •  Tunus  hükümeA  HTTPS  kullanan    bazı  sitelere  üye  muhalif  grupları  belirlemek,  engellemek  için  kendisine  bağlı  serAfika  otoritesi(Microso�  tarahndan    güvenilir  olarak  kabul  edilen)ni  HTTPS  kullanan  siteler  bağlananları  izlemek  için  kullandı.  – Detaylar  için  wikileaks  belgeleri  

Page 38: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

SSL  Sorununu  Kökten  Çözen  Ülke:İran  

Page 39: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Şifreli  Trafiğin  İzlenmesine  Karşı  Ek  Önlemler  •  HSTS(HTTP  Strict  Transport  Security)  – uygulama  

•  CerAficate  Pinning  –  SerAfika  Sabitleme  – uygulama  

Page 40: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Firefox  HSTS  /CP  EklenAsi  

Page 41: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

İzle(n)meye  Karşı  Ek  Önlemler  •  Çoğu  popüler  web  hizmeA  tüm  trafiği  şifreleyecek  şekilde  SSL  hizmeA  sunmaya  başlamış<r.  

•  Öncüsü  Google  •  Facebook  •  Hotmail  •  Twiyer  •  Hotmail  •  …  

Page 42: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Twiyer  Şifreleme  Kanalı  (SSL)  Desteği  

Page 43: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Facebook  Şifreleme  Kanalı  (SSL)  Desteği  

Page 44: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Gmail  Şifreleme  Kanalı  (SSL)  Desteği  •  Gmail  SSL’e  geçiş  serüveninin  öncülerinden…  

Page 45: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Hotmail  Şifreleme  Kanalı  (SSL)  Desteği  

•  Öntanımlı  olarak  SSL    açık  gelmiyor  

Page 46: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Güvenli(?)  İnternet  Erişim  Yöntemleri  

Page 47: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  CypSec  ’14  Siber  Güvenlik  Konferansı  /  Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

TOR  Üzerine  NSA  Uğraşları  

Page 48: Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri

CypSec  ‘14  siber  Güvenlik  Konferansı  2014/Le>oşe   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Bilgi  Güvenliği  AKADEMİSİ