Upload
ibrahim-balic
View
149
Download
0
Embed Size (px)
Citation preview
• Ben Kimim?• Siber Silahlar
• Siber Silah nedir?• Flame & Stuxnet & Black Energy• Neden Siber Silah?• Siber Silah Endüstrisi
• Alıcılar ve Satıcılar• Dengelerin Değişimi• Yasal Düzenlemeler
• Siber Silah Üretimi• 0-Days• Research Lab (0-Day Research)
• Örnekler• Sorular?
Agenda
1
• Güvenlik Araştırmacısı (10 yıldır) @ Baliç Bilişim • Beyaz Şapkalı Hacker @ Apple, Facebook, Opera, Google etc. • Misafir Öğretim Görevlisi (1 dönem Android) @ Kocaeli Üniversitesi • Danışman (3 Ay) @ Savunma Sanayii Müsteşarlığı
Who am I?
2
Who am I?
3
Who am I?
4
Realiyt. (:
Who am I?
5
Who am I?
6
Who am I?
7
21 GÜN KAPALI KALDI.
Who am I?
8
Who am I?
9
2013 yılında Google Play’ın 2 gün kapanma vakası
Who am I?
10
Zaman içerisinde değişenler
11
Cyber Weapons
Siber Silah nedir?
12
“Siber Silah bir sistem üzerinde izleme, bilgi toplama veya hedef sistemi çalışmaz hale getirebilecek herhangi bir
yöntem veya araç için kullanılan bir tanımdır.”
13
Flame
“2012 yılında tespit edilen Flame, Ortadoğu ülkelerini hedef alan ve 2008 yılından beri varlığını sürdürdüğü raporlanan
en güçlü siber silahlardan biridir.”
14
Flame
15
Stuxnet
“2010 yılında tespit edilmiş olan Stuxnet, Iran’nın nüklüer santrellerine yönelik oluşturulmuş, hedef odaklı siber
silahlardan biridir.”
16
Black Energy
“2007 yılında rastlanan ilk varyasyonundan sonra 23 Aralık 2015 günü Ukrayna’da elektriklerin gitmesine sebep
olarak kendini hatırlatmıştır.”
Siber Silahlar ve Savunma
17
18
Neden Siber Silah?• Maliyeti düşüktür.• Etki alanı yüksektir.• Kavramsal olarak bir silaha göre daha işlevseldir.• ...
19
Neden Siber Silah?
600 bin ile 1 milyon dolar
1,550 mi; 2,500 km
Birim fiyatı 40 bin dolar
- km
20
Neden Siber Silah?
21
Neden Siber Silah?
600 bin ile 1 milyon dolar
Birim fiyatı 40 bin dolar
22
Neden Siber Silah?
23
Siber Silah Endüstrisi
“4 Milyar Dollar”2014-2024
• Defensive Siber Silahlar
• Offensive Siber Silahlar
24
Kim bu alıcılar?
DevletlerDevletlerDevletler
Illegal ögütlerŞirketler
Siber Silah Endüstrisi
25
Kim bu satıcılar?
>>>>>> Hackers <<<<<<<
Siber Silah Endüstrisi
26
Siber Silah Endüstrisi
27
Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.
2014 Yılı Ağustos ayında 40 gb veri paylaşıldı. Casus yazılımların kaynak kodları, okümanları…
28
Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.
Gamma International ve FinFisher Casus yazılımı.
29
Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.
FinFisher Casus yazılımı Mısır devletinin faturası.
30
Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.
İtalyan firmasının 2015 Yıl Temmuz ayında 400 GB verisi paylaşıldı.
+Çok sayıda 0day
+Tüm kullanıcı mailleri
+Firma faturaları
+Türk Polis İstihbaratının 440.000 bin Euro civarında fatura kestiği görüldü.
31
Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.
32
Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.
33
Nasıl bu kadar etkili olabilirler?
Siber Silah Endüstrisi
“Stuxnet için yapılan analiz raporlarında 4 adet farklı 0-Day’e rastlandığı belirtilmektedir.”
CVE-2008-4250CVE-2010-2568CVE-2010-2729
34
Wassenaar Arrangement
Siber Silah Endüstrisi
Avrupa Exploit’ten korunabilmek için dış ticaretini kontrol etmek
istiyor.
Exploit geliştirme eğitimlerini EU vatandaşı olmayanlara veremiyoruz.
Devletlerin bazı yasal düzenlemeleri
35
Siber Silah Endüstrisi
Devletlerin bazı yasal düzenlemeleri
Wassenaar Arrangement
36
0-Day Kavramı
37
0-Day Nedir?
“0-day olarak adlandırılan sıfırıncı gün güvenlik zafiyetleri, Gün yüzüne çıkmamış yani bilinmeyen güvenlik zafiyetleri
için kullanılan bir tanımdır.”
38
0-days Research Labs
0-Day Nedir?
39
0-days Research Labs
40
0-days Research Labs
0-Day
41
0-Day Nedir?
“Güvenlik raporlarında, FBI’ın Çocuk pornosu operasyonunda Firefox 0-Day kullanarak suçluları
yakaladığı belirtilmekte.“
CVE-2013-1690
42
0-days Research Labs
Research Lab (0-Day Research)
İhtiyaçlarınız
• 1 Adet Bilgisayar• 1 Adet Web Browser• 1 Adet fuzzer (Grinder, Peach vs)• Olabildiğince çok bilgi ve tecrübe• Biraz şans
43
Research Lab (0-Day Research)
“Sistem veya Uygulama Fuzz edilirken kullanılan herhangi bir uygulama veya
script için Fuzzer tanımı kullanılmaktadır.”
Fuzzing
Fuzzer
“Fuzzing, güvenlik araştırmacılarının uygulamalara yönelik; rastgele veya odaklı olarak oluşturdukları bir test tekniğidir. Bu kapsamda yapılmış
olunan teste Fuzzing veya Fuzz Testing denir.”
44
Research Lab (0-Day Research)
5 Fuzzer
45
Research Lab (0-Day Research)
46
Research Lab (0-Day Research)Crash Report
47
Research Lab (0-Day Research)
Exploitable Kontrol
Crash Report
48
Research Lab (0-Day Research)
Exploit Development
Exploitable Kontrol
Crash Report
49
Research Lab (0-Day Research)
o artık siber silah...
50
CVE-2010-3962 (Örnek)Tür : Use-after-freeEtkilenenler : Microsoft Internet Explorer 6, 7 ve 8Exploitable : Evet
51
CVE-2010-3962 (Örnek)
Exploit : Matteo Memelli, [email protected]
Shellcode, sistem üzerinde çalıştırıldığında 4444 nolu portu açacak şekilde oluşturuldu.
52
CVE-2010-3962 (Örnek)
http://ibrahimbalic.com/exp/test1.html
53
CVE-2010-3962 (Örnek)
Sızılan sistemdeki kullanıcılar.
Sızılan sistem.
Sızılan sistemin local ipsi.
54
CVE- 2010-0188 (Örnek)Tür : Unspecified vulnerabilityEtkilenenler : Adobe Reader and Acrobat < 8.x, 8.2.1 ,9.x ,9.3.1Exploitable : Evet
55
CVE- 2010-0188 (Örnek)
56
Mobil RAT (Örnek)