(Siber G venlik Derne i).

www.siberguvenlik.org.tr
https://twitter.com/siberguvenlik
Siber Güvenlikte Ofansif
Yaklaşımlar
Bâkır EMRE
Siber Güvenlik Konferansı
6 Kasım 2012 - Ankara
Giriş
• Defansif siber güvenlik?
– 80ler Bilgi güvenliği kavramı
– 90ların başı Güvenlik Duvarı
– 90ların sonu Pentest
– 00lerin ilk yarısı I[D|P]S
– 00lerin ikinci yarısı Web uygulama güvenliği
– 00lerin ikinci yarısı DLP,NAC
• Siber Güvenlik kapasiteleri
– Ofansif çalışmalar
– Siber Silah
– Sızıntılara Karşı Ofansif Önlemler
– Web site taramalarına Karşı Ofansif Önlemler
• Sonuç
80ler - Bilgi Güvenliği
80ler - Antivirus
Anti-Virus
• “We (the antivirus industry) failed
on Flame”
Mikko Hypponen
• 0-days
90lar - Güvenlik Duvarı
Güvenlik Duvarı
• TCP 443 -> ssh?
• UDP 53 -> RDP
• TCP 80 -> !http
90lar - Pentest
Açıklık bulunan sunucular
Üretilen Rapor
00ler – I[D|P]S
I[D|P]S
• Throughput *
• Tespit Oranı?
– False positive
– False negative
*www.currentanalysis.com & www.tilera.com
Yeni Strateji
• Siber ortamda bulunan varlıkları koruma
amaçlı
• Yeni stratejiler gerçeklemek gerekiyor!
• Daha Agresif daha ofansif
• Kimin, Neden saldırdığını bulmak gerekir
Siber Silah
• Stuxnet, öncesi ddos en önemli siber silah
olarak görülüyordu!
• Eğer Uzaylılar yapmadı ise muhtemelen 2-3
şüphelisi var!
Siber Güvenlik Kapasitesi
• “Cyber Warfare: An Analysis of the Means and
Motivations of Selected States”
Siber Güvenlik Kapasiteler
Siber Silah
• Siber füze!
Insansız Hava Aracı Hackleme
• Lockheed Martin RQ-170 Sentinel Kandehar
yakınlarında düşürüldü.
• İran Yetkilileri GPS Spoofing kullanarak hava
aracını güvenli bir şekilde indirdiklerini
söylediler
Sızıntı
• Kamu kurumlarına ait gizli belgeler
• Özel şirketlere ait patentler, anlaşmalar
çalışan/müşteri bilgileri
IP Takibi
• IP takibi
– Çalınan / Sızdırılan MS Word belgesini kimler
nerede açmış!
Word ile IP İzleme
$ vi gizlidosya.doc
<html>
<body>
<h1> Gizli Dosya </h1>
<p>test</p>
<style type="text/css">@import
url(http://www.abckurumu.gov.tr/iptrack/default.css)
;</style>
</body>
</html>
tail -f http-acces.log
83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "OPTIONS /iptrack/
HTTP/1.1" 200 8027 "-" "Microsoft Office Protocol Discovery«
83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "GET
/iptrack/default.css HTTP/1.1" 200 1362 "-" "Mozilla/4.0 (compatible;
MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727;
SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0;
.NET4.0C; InfoPath.3; .NET4.0E; ms-office; MSOffice 14)"
Anonimity
• Gerçek IP adresi ile erişsin!
• Public Proxy’ler ile erişimi yasak
• TOR ağı ile erişim yasak!
Anonimliği engelleyin!
https://github.com/lfamorim/barrelroll/tree/master/full_list
Sahte Yönetim Paneli Sayfası
• ABC kurumu Yönetim Paneli
http://admin.abckurumu.gov.tr
http://yonetim.abckurumu.gov.tr
http://www.abckurumu.gov.tr/admin
http://www.abckurumu.gov.tr/yonetim
http://www.abckurumu.gov.tr/hattorihanzo
Sahte Yönetim Paneli
<?
if($_POST['username']) { sleep(10);
$filename = ”sazan.txt";
$date = date('l jS \ F Y h:i:s A');
$handle = fopen($filename,"a+");
$content = "Username: $_POST[username] ,
Password: $_POST[password] $date ...
$_SERVER[REMOTE_ADDR] \n";
fwrite($handle,$content); fclose($handle);
echo "<br/><b>Yanlış kullanıcı adı ya da
parola. Lütfen yeniden
deneyin</b><br/><br/>"; } ?>
Web Sunucu Başlık bilgisi
• “Troll”lük yapın!
• Web sunucu header bilgisini değiştirin!
User agent string
• Nikto, w3af, acunetix, netsparker vs.
• Teleport, ReGET,SiteSnagger, JetCar vs
Sahte sayfalarda dolaştırın
• Weblabyrinth
– Sahte site haritası oluşturur.
– Web açıklık tarayıcılarının sahte sayfalarda
dolaşmasını sağlar
– Googlebot’lara bu site indexlenmesin denebilir.
weblabyrinth
Sonuç
• Defans şart ama yeterli değil!
• Uymamız gereken kurallar var
– Onların yok!
• Siber Güvenlik Stratejisinde, Doktrinde ofansif
yaklaşımlara yer verilmeli
• hack-back yasal mı?
– Zararlı yazılımları herkesin ulaşabileceği şekilde
sisteminize koymayın
– Uyarın
Teşekkürler
Sorular?