58

Ibrahim balic cyber-weapons

Embed Size (px)

Citation preview

Page 1: Ibrahim balic cyber-weapons
Page 2: Ibrahim balic cyber-weapons

• Ben Kimim?• Siber Silahlar

• Siber Silah nedir?• Flame & Stuxnet & Black Energy• Neden Siber Silah?• Siber Silah Endüstrisi

• Alıcılar ve Satıcılar• Dengelerin Değişimi• Yasal Düzenlemeler

• Siber Silah Üretimi• 0-Days• Research Lab (0-Day Research)

• Örnekler• Sorular?

Agenda

1

Page 3: Ibrahim balic cyber-weapons

• Güvenlik Araştırmacısı (10 yıldır) @ Baliç Bilişim • Beyaz Şapkalı Hacker @ Apple, Facebook, Opera, Google etc. • Misafir Öğretim Görevlisi (1 dönem Android) @ Kocaeli Üniversitesi • Danışman (3 Ay) @ Savunma Sanayii Müsteşarlığı

Who am I?

2

Page 4: Ibrahim balic cyber-weapons

Who am I?

3

Page 5: Ibrahim balic cyber-weapons

Who am I?

4

Realiyt. (:

Page 6: Ibrahim balic cyber-weapons

Who am I?

5

Page 7: Ibrahim balic cyber-weapons

Who am I?

6

Page 8: Ibrahim balic cyber-weapons

Who am I?

7

21 GÜN KAPALI KALDI.

Page 9: Ibrahim balic cyber-weapons

Who am I?

8

Page 10: Ibrahim balic cyber-weapons

Who am I?

9

2013 yılında Google Play’ın 2 gün kapanma vakası

Page 11: Ibrahim balic cyber-weapons

Who am I?

10

Zaman içerisinde değişenler

Page 12: Ibrahim balic cyber-weapons

11

Cyber Weapons

Page 13: Ibrahim balic cyber-weapons

Siber Silah nedir?

12

“Siber Silah bir sistem üzerinde izleme, bilgi toplama veya hedef sistemi çalışmaz hale getirebilecek herhangi bir

yöntem veya araç için kullanılan bir tanımdır.”

Page 14: Ibrahim balic cyber-weapons

13

Flame

“2012 yılında tespit edilen Flame, Ortadoğu ülkelerini hedef alan ve 2008 yılından beri varlığını sürdürdüğü raporlanan

en güçlü siber silahlardan biridir.”

Page 15: Ibrahim balic cyber-weapons

14

Flame

Page 16: Ibrahim balic cyber-weapons

15

Stuxnet

“2010 yılında tespit edilmiş olan Stuxnet, Iran’nın nüklüer santrellerine yönelik oluşturulmuş, hedef odaklı siber

silahlardan biridir.”

Page 17: Ibrahim balic cyber-weapons

16

Black Energy

“2007 yılında rastlanan ilk varyasyonundan sonra 23 Aralık 2015 günü Ukrayna’da elektriklerin gitmesine sebep

olarak kendini hatırlatmıştır.”

Page 18: Ibrahim balic cyber-weapons

Siber Silahlar ve Savunma

17

Page 19: Ibrahim balic cyber-weapons

18

Neden Siber Silah?• Maliyeti düşüktür.• Etki alanı yüksektir.• Kavramsal olarak bir silaha göre daha işlevseldir.• ...

Page 20: Ibrahim balic cyber-weapons

19

Neden Siber Silah?

600 bin ile 1 milyon dolar

1,550 mi; 2,500 km

Birim fiyatı 40 bin dolar

- km

Page 21: Ibrahim balic cyber-weapons

20

Neden Siber Silah?

Page 22: Ibrahim balic cyber-weapons

21

Neden Siber Silah?

600 bin ile 1 milyon dolar

Birim fiyatı 40 bin dolar

Page 23: Ibrahim balic cyber-weapons

22

Neden Siber Silah?

Page 24: Ibrahim balic cyber-weapons

23

Siber Silah Endüstrisi

“4 Milyar Dollar”2014-2024

• Defensive Siber Silahlar

• Offensive Siber Silahlar

Page 25: Ibrahim balic cyber-weapons

24

Kim bu alıcılar?

DevletlerDevletlerDevletler

Illegal ögütlerŞirketler

Siber Silah Endüstrisi

Page 26: Ibrahim balic cyber-weapons

25

Kim bu satıcılar?

>>>>>> Hackers <<<<<<<

Siber Silah Endüstrisi

Page 27: Ibrahim balic cyber-weapons

26

Siber Silah Endüstrisi

Page 28: Ibrahim balic cyber-weapons

27

Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.

2014 Yılı Ağustos ayında 40 gb veri paylaşıldı. Casus yazılımların kaynak kodları, okümanları…

Page 29: Ibrahim balic cyber-weapons

28

Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.

Gamma International ve FinFisher Casus yazılımı.

Page 30: Ibrahim balic cyber-weapons

29

Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.

FinFisher Casus yazılımı Mısır devletinin faturası.

Page 31: Ibrahim balic cyber-weapons

30

Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.

İtalyan firmasının 2015 Yıl Temmuz ayında 400 GB verisi paylaşıldı.

+Çok sayıda 0day

+Tüm kullanıcı mailleri

+Firma faturaları

+Türk Polis İstihbaratının 440.000 bin Euro civarında fatura kestiği görüldü.

Page 32: Ibrahim balic cyber-weapons

31

Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.

Page 33: Ibrahim balic cyber-weapons

32

Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.

Page 34: Ibrahim balic cyber-weapons

33

Nasıl bu kadar etkili olabilirler?

Siber Silah Endüstrisi

“Stuxnet için yapılan analiz raporlarında 4 adet farklı 0-Day’e rastlandığı belirtilmektedir.”

CVE-2008-4250CVE-2010-2568CVE-2010-2729

Page 35: Ibrahim balic cyber-weapons

34

Wassenaar Arrangement

Siber Silah Endüstrisi

Avrupa Exploit’ten korunabilmek için dış ticaretini kontrol etmek

istiyor.

Exploit geliştirme eğitimlerini EU vatandaşı olmayanlara veremiyoruz.

Devletlerin bazı yasal düzenlemeleri

Page 36: Ibrahim balic cyber-weapons

35

Siber Silah Endüstrisi

Devletlerin bazı yasal düzenlemeleri

Wassenaar Arrangement

Page 37: Ibrahim balic cyber-weapons

36

0-Day Kavramı

Page 38: Ibrahim balic cyber-weapons

37

0-Day Nedir?

“0-day olarak adlandırılan sıfırıncı gün güvenlik zafiyetleri, Gün yüzüne çıkmamış yani bilinmeyen güvenlik zafiyetleri

için kullanılan bir tanımdır.”

Page 39: Ibrahim balic cyber-weapons

38

0-days Research Labs

0-Day Nedir?

Page 40: Ibrahim balic cyber-weapons

39

0-days Research Labs

Page 41: Ibrahim balic cyber-weapons

40

0-days Research Labs

0-Day

Page 42: Ibrahim balic cyber-weapons

41

0-Day Nedir?

“Güvenlik raporlarında, FBI’ın Çocuk pornosu operasyonunda Firefox 0-Day kullanarak suçluları

yakaladığı belirtilmekte.“

CVE-2013-1690

Page 43: Ibrahim balic cyber-weapons

42

0-days Research Labs

Research Lab (0-Day Research)

İhtiyaçlarınız

• 1 Adet Bilgisayar• 1 Adet Web Browser• 1 Adet fuzzer (Grinder, Peach vs)• Olabildiğince çok bilgi ve tecrübe• Biraz şans

Page 44: Ibrahim balic cyber-weapons

43

Research Lab (0-Day Research)

“Sistem veya Uygulama Fuzz edilirken kullanılan herhangi bir uygulama veya

script için Fuzzer tanımı kullanılmaktadır.”

Fuzzing

Fuzzer

“Fuzzing, güvenlik araştırmacılarının uygulamalara yönelik; rastgele veya odaklı olarak oluşturdukları bir test tekniğidir. Bu kapsamda yapılmış

olunan teste Fuzzing veya Fuzz Testing denir.”

Page 45: Ibrahim balic cyber-weapons

44

Research Lab (0-Day Research)

5 Fuzzer

Page 46: Ibrahim balic cyber-weapons

45

Research Lab (0-Day Research)

Page 47: Ibrahim balic cyber-weapons

46

Research Lab (0-Day Research)Crash Report

Page 48: Ibrahim balic cyber-weapons

47

Research Lab (0-Day Research)

Exploitable Kontrol

Crash Report

Page 49: Ibrahim balic cyber-weapons

48

Research Lab (0-Day Research)

Exploit Development

Exploitable Kontrol

Crash Report

Page 50: Ibrahim balic cyber-weapons

49

Research Lab (0-Day Research)

o artık siber silah...

Page 51: Ibrahim balic cyber-weapons

50

CVE-2010-3962 (Örnek)Tür : Use-after-freeEtkilenenler : Microsoft Internet Explorer 6, 7 ve 8Exploitable : Evet

Page 52: Ibrahim balic cyber-weapons

51

CVE-2010-3962 (Örnek)

Exploit : Matteo Memelli, [email protected]

Shellcode, sistem üzerinde çalıştırıldığında 4444 nolu portu açacak şekilde oluşturuldu.

Page 53: Ibrahim balic cyber-weapons

52

CVE-2010-3962 (Örnek)

http://ibrahimbalic.com/exp/test1.html

Page 54: Ibrahim balic cyber-weapons

53

CVE-2010-3962 (Örnek)

Sızılan sistemdeki kullanıcılar.

Sızılan sistem.

Sızılan sistemin local ipsi.

Page 55: Ibrahim balic cyber-weapons

54

CVE- 2010-0188 (Örnek)Tür : Unspecified vulnerabilityEtkilenenler : Adobe Reader and Acrobat < 8.x, 8.2.1 ,9.x ,9.3.1Exploitable : Evet

Page 56: Ibrahim balic cyber-weapons

55

CVE- 2010-0188 (Örnek)

Page 57: Ibrahim balic cyber-weapons

56

Mobil RAT (Örnek)

Page 58: Ibrahim balic cyber-weapons

57

Sorusu Olan?

Teşekkürler

http://[email protected]