siber savunma Ürünlerinde profesyonel arka kapılar

Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 E-‐Crime Turkey -‐ 2012

Siber Savunma Sistemlerinde Profesyonel Arka Kapılar

Huzeyfe ÖNAL BGA Bilgi Güvenliği A.Ş.

[email protected]

Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014 EMEA INTELLIGENCE -‐ 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) -‐ bga.com.tr E-‐Crime Turkey -‐ 2012 Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014

Huzeyfe ÖNAL •  Kurumsal Bilgi Güvenliği Hizmetleri Yöne=cisi @BGA •  Penetra=on Tester •  Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ

•  Öğre=m Görevlisi Bilgi / Bahçeşehir Üniversitesi


Bilgilendirme •  Sunumda geçen tüm “görseller” arama motorları kullanılarak açık kaynaklar üzerinden elde edilmiş=r, konuşmacının kendi fikirleri/yorumları değildir, kesin doğruluk payına sahip değildir.


Ajanda •  Siber güvenliğin önemi ve güncel durum •  Siber savunma amaçlı kullanılan sistemler ve özellikleri

•  Siber savunma ürünlerinde arka kapılar •  Teknolojik çözüm yolları •  Siyasi ve idari çözüm önerileri

Bilişim Zivesi Siber Güvenlik Konferansı -‐ 2014

Siber Dünya Dün… Bugün…


Siber Güvenliğe Verilen Önem #Obama Obama’nın dilinden siber güvenlik

•  It’s been es)mated that last year alone cyber criminals stole intellectual property from businesses worldwide worth up to $1 trillion.

•  In short, America’s economic prosperity in the 21st century will depend on cyber security.

•  Siber güvenlik stratejisini tamamlamış ülkeler – Hindistan, İngiltere, Çin, Almanya, USA, Kore…

•  Türkiye’de durum. –  2002-‐2011 < 2012-‐2013

6


#NSA #Snowden


#Siber Suç


Kullanılan Siber Savunma Sistem ve Yazılımları •  Firewall (Güvenlik Duvarı) •  IDS/IPS (Saldırı Tespit ve Engelleme Sistemi) •  WAF (Web Applica=on Firewall) •  DoS/DDoS Engelleme Sistemleri •  An=-‐Virüs/An=-‐Spam •  DLP (Data Leakage Preven=on) •  Log ve Monitoring Sistemleri •  İnsan


Türkiye’de Siber Savunma Sistemleri #2013 •  Ağırlığı kamu kurumları olmak üzere 100 farklı kurumda yapılan “resmi olmayan” araşjrmalar sonucu:

•  Türkiye’de siber güvenlik bilinci 2011 öncesi ve 2011 sonrası olmak üzere iki döneme ayrılır

•  Kamu kurumları ilk defa 202 yılı i=bariyle siber güvenlik zafiyetleri dolayısıyla zor durumda kalmışjr, siber saldırılar sonrası görevden almalar olmuştur.

•  Nerelerde ne oranda kullanılıyor, outsource meselesi, herhangi bir kontrol var mi?

•  Cloud a aktaranlar?


Yerli/Yabancı Siber Savunma Ürünleri

3%

97%

Yerli – Yabancı Siber Savunma Ürünleri Oranı Yerli Ürün Yabancı Ürün


Ülkelere Göre Dağılım

0

10

20

30

40

50

60

İsrail Amerika Avrupa Ülkeleri Diğerleri

Series1


Açık Kaynak Kod Sistem Kullanımı •  Ticari sistemler içinde kullanılan açık kaynak kod yazılımların oranı yaklaşık olarak %30

•  Bağımsız olarak açık kaynak kod yazılım/sistem kullanım oranı %6

•  Genel olarak açık kaynak kodlu sistemler daha fazla bilgi ve uğraşı istediği için bağımsız kullanım oranları oldukça düşük çıkmışjr.


Siber Savunma Sistemlerinde Arka Kapılar •  Paranoya mı gerçek mi? – Yoklama!

•  Güvenlik ürünleri ne kadar güvenilir? •  Her teknoloji üre=cisi üretği teknolojinin bir gün ulusal çıkarları için kullanacağını düşünerek üretmektedir. – Üre=ci bunu düşünmese de yaşadığı ülkenin kanunları bunun talep etmektedir.

•  Arka kapılar kimi zaman güvenlik zafiye= kılığına bürünür kimi zaman kullanım kolaylığı bahanesine sığınır.


Dünya’dan Haberler


#NSA Örtülü Ödenek Harcamaları


Backdoor Yarışında Diğer Ülkeler…


#Backdoor Yerleş=rme Senaryoları •  Genellikle yazılımsal arka kapılarla karşılaşırdık •  Yazılımın herkes taravndan kolaylıkla üre=lmesi ve açık olması nedeniyle son 5 yıldır donanımsal tabanlı çözümlerin tercih edildiği görülmektedir.

•  Üre=ci firmayı zor durumda bırakmamak ve savunma taravnda söz hakkı tanımak amacıyla üre=ciden alınan cihazlar sınırda tekrar açılarak içlerine ilgili arka kapılar yerleş=rilmekte ve talep edildiğinde farklı kanallardan bilgi aktaracak şekilde yapılandırılmaktadır.


#NSA ANT Kataloğu

hwp://en.wikipedia.org/wiki/NSA_ANT_catalog

hwp://en.wikipedia.org/wiki/NSA_ANT_catalog


İyi Niyetli Arka Kapılar… •  Bazı güvenlik firmaları uzaktan erişimi kolaylaşjrma amaçlı

geliş=rdikleri sistemlere “iyi niyetli” tespi= zor arka kapılar yerleş=rmektedir.

•  Bu =p networksel arka kapılar yeni nesil güvenlik sistemleri (Port Bağımsız Protokol Tanıma Özelliği olan) taravndan istenildiğinde kolaylıkla farkedilebilecek=r.


Barracuda SMTP/SSH Backdoor Detay


Güvenlik Zafiye= Kılığına Bürünmüş Arka Kapılar


#Heartbleed Gerçek mi? •  Hajrlayacak olursak… •  Çok kullanılan açık kaynak kodlu şifreleme kütüphanesi OpenSSL’de çıkan bu zafiyet kullanılarak uzaktan tüm güvenlik sistemlerini atlatarak hedef işle=m sisteminin (mobil/vpn/voip phone/Linux/VPN vs) ön belleğindeki hassas verilere erişilebiliyordu… – Son 10 yılda çıkmış en “temiz” is=smar edilecek açık

•  Bu ve benzeri açıklıklar güvenlik uzmanlarında ciddi şüphe uyandırmaktadır


Ağ Tabanlı Görünmez Arka Kapı Tasarımı •  Genel adı port knocking olarak bilinir •  Daha çok uzaktan özel durumlarda port/servis açmak ve komut çalışjrmak için kullanılır

•  Güvenlik duvarı, IPS gibi backbone sistemleri üzerinde de kurulabilir bunların arkasındaki sistemlerde de kurulabilir.

•  Dışardan bakıldığında tamamen kapalı olan sistem alacağı özel sıralamalı paketlerle sahibine tüm sistemi belirli zaman dilimi için açabilir, sistemi uzaktan silebilir…


Pasif Arka Kapı İşlemi için Tasarım


Port Knocking Örnek


Nasıl Tespit Edilir? •  Snowden taravndan sızdırılan belgeler detaylıca incelendiğinde bu işin kolay bir tespit yöntemi olamayacağı ortaya çıkmaktadır.

•  Bilgileri sızdırmak için milyonlarca dolar yajrım yapan bir güce karşı aynı manjkla hareket etmek en doğru çözüm olacakjr.

•  Gelişmiş ülkeler aldıkları her yabancı teknolojiyi üniversite ve özel sektörün de içinde bulunduğu bağımsız bir grup taravndan detaylı teste tabi tutar ve bu çalışmanın çıkjsına göre teknolojinin kullanımına izin verir.


Çözüm Önerileri •  Kamu sistemlerine alınacak güvenlik ürünlerinde kaynak kodu paylaşmayı zorunlu hale ge=recek maddelerin eklenmesi. – Yerli üre=mi ve yabancı firmaların yerli Ar-‐ge merkezlerine taşınmasına da destek olacakjr.

•  Siber güvenlik amaçlı kullanılacak yazılım/donanımların “bağımsız” firma/kurumlar taravndan detay testlere tabi tutularak ser=fikalandırılması. – Siber Güvenlik Stratji Belgesi No:x


Çözüm Önerileri-‐II •  Açık Kaynak kodlu ağ göze=m ve anormalliktespit sistemlerinin kullanımı – Snort, Suricata, BroIDS

•  Gelişmiş Loglama ve Analiz Sistemi – E-‐L-‐K-‐O (Elas=csearch, Logstash, Kibana, Ossec)

•  FPC sistemlerinin kullanımı – Disk maliye=


FPC – Full Packet Capture •  Ağa Giren-‐çıkan tüm paketlerin sonradan kullanılmak üzere kaydedilmesi işlemi – Disk kapasitesi problemi vardır

•  Programlanmış ağ ve güvenlik sistemleri (Router, firewall IPS vs vs) sadece belirli şartlara uyan paketleri yakalama/kaydetme manjğıyla çalışjkları için RFC uyumsuz özel işlemler için üre=lmiş trafiği yakalayamazlar.


Sonuç •  Üre=lemeyen veya tüm kaynak kod/proje detaylarına sahip olmadan alınacak teknolojik sistemlerle “gerçek güvenlik” sağlanamaz.


İle=şim Bilgileri

• www.lifeoverip.net • Blog.bga.com.tr Blog

• @bgasecurity • @huzeyfeonal • @linuxakademi

Twiwer

• [email protected] İle=şim

siber savunma Ürünlerinde profesyonel arka kapılar

Internet