Siber Güvenlik Konferansı: Ankara 2012 - Siber Güvenlikte Ofansif Yaklaşımlar [tr]

Transcript

1. Siber  Güvenlikte  Ofansif   Yaklaşımlar   Bâkır  EMRE   Siber

    Güvenlik  Konferansı   6  Kasım  2012  -­‐  Ankara    

2. Giriş   •  Defansif  siber  güvenlik?   –  80ler  Bilgi

    güvenliği  kavramı   –  90ların  başı  Güvenlik  Duvarı   –  90ların  sonu  Pentest   –  00lerin  ilk  yarısı  I[D|P]S     –  00lerin  ikinci  yarısı  Web  uygulama  güvenliği     –  00lerin  ikinci  yarısı  DLP,NAC   •  Siber  Güvenlik  kapasiteleri   –  Ofansif  çalışmalar   –  Siber  Silah   –  SızınZlara  Karşı  Ofansif  Önlemler   –  Web  site  taramalarına  Karşı  Ofansif  Önlemler   •  Sonuç  

3. 80ler  -­‐  Bilgi  Güvenliği  

4. 80ler  -­‐  An\virus  

5. An\-­‐Virus   •  “We (the antivirus industry) failed on Flame”

   Mikko  Hypponen   •  0-­‐days  

6. 90lar  -­‐  Güvenlik  Duvarı  

7. Güvenlik  Duvarı   •  TCP  443  -­‐>  ssh?   • 

   UDP  53  -­‐>  RDP   •  TCP  80  -­‐>  !hgp    

8. 90lar  -­‐  Pentest  

9. Açıklık  bulunan  sunucular   Üre\len  Rapor  

10. 00ler  –  I[D|P]S  

11. I[D|P]S   •  Throughput  *   •  Tespit  Oranı?  

    –  False  posi\ve   –  False  nega\ve     *www.currentanalysis.com    &  www.(lera.com  

12. Yeni  Strateji   •  Siber  ortamda  bulunan  varlıkları  koruma  

    amaçlı   •  Yeni  stratejiler  gerçeklemek  gerekiyor!   •  Daha  Agresif  daha  ofansif   •  Kimin,  Neden  saldırdığını  bulmak  gerekir  

13. Siber  Silah   •  Stuxnet,  öncesi  ddos  en  önemli  siber

     silah   olarak  görülüyordu!   – Eğer  Uzaylılar  yapmadı  ise  muhtemelen  2-­‐3   şüphelisi  var!   •  APT   – Flame,   – Duqu   – Stuxnet   – vs.  

14. Siber  Güvenlik  Kapasitesi   •  “Cyber  Warfare:  An  Analysis  of

     the  Means  and   Mo\va\ons  of  Selected  States”  

15. Siber  Güvenlik  Kapasiteler  

16. Siber  Silah   •  Siber  füze!  

17. Insansız  Hava  Aracı  Hackleme   •  Lockheed  Mar\n  RQ-­‐170  Sen\nel

     Kandehar   yakınlarında  düşürüldü.     •  İran  Yetkilileri  GPS  Spoofing  kullanarak  hava   aracını  güvenli  bir  şekilde  indirdiklerini   söylediler  

18. SızınZ   •  Kamu  kurumlarına  ait  gizli  belgeler   • 

    Özel  şirketlere  ait  patentler,  anlaşmalar   çalışan/müşteri  bilgileri  

19. IP  Takibi   •  IP  takibi   – Çalınan  /  Sızdırılan

     MS  Word  belgesini  kimler   nerede  açmış!  

20. Word  Dokümanı  ile  IP  Takibi   $ vi gizlidosya.doc <html>

    <body> <h1> Gizli Dosya </h1> <p>test</p> <style type="text/css">@import url(http:// www.abckurumu.gov.tr/iptrack/default.css);</style> </body> </html>

21. tail -f http-acces.log   83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "OPTIONS

    /iptrack/ HTTP/ 1.1" 200 8027 "-" "Microsoft Office Protocol Discovery« 83.12.174.42 - - [05/Nov/2012:14:19:43 +0200] "GET /iptrack/ default.css HTTP/1.1" 200 1362 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3; .NET4.0E; ms-office; MSOffice 14)"  

22. Anonimity   •  Gerçek  IP  adresi  ile  erişsin!   • 

    Public  Proxy’ler  ile  erişimi  yasak   •  TOR  ağı  ile  erişim  yasak!  

23. Anonimliği  engelleyin!   h-ps://github.com/lfamorim/barrelroll/tree/master/full_list  

24. Sahte  Yöne\m  Paneli  Sayfası     •  ABC  kurumu  Yöne\m

     Paneli   hgp://admin.abckurumu.gov.tr   hgp://yone\m.abckurumu.gov.tr   hgp://www.abckurumu.gov.tr/admin   hgp://www.abckurumu.gov.tr/yone\m     hgp://www.abckurumu.gov.tr/hagorihanzo    

25. Sahte  Yöne\m  Paneli   <? if($_POST['username']) { sleep(10); $filename =

    ”sazan.txt"; $date = date('l jS \ F Y h:i:s A'); $handle = fopen($filename,"a+"); $content = "Username: $_POST[username] , Password: $_POST[password] $date ... $_SERVER[REMOTE_ADDR] \n"; fwrite($handle,$content); fclose($handle); echo "<br/><b>Yanlış kullanıcı adı ya da parola. Lütfen yeniden deneyin</b><br/ ><br/>"; } ?>

26. Web  Sunucu  Başlık  bilgisi   •  “Troll”lük  yapın!   • 

    Web  sunucu  header  bilgisini  değiş\rin!  

27. User  agent  string   •  Nikto,  w3af,  acune\x,  netsparker  vs.

      •  Teleport,  ReGET,SiteSnagger,  JetCar  vs  

28. Sahte  sayfalarda  dolaşZrın   •  Weblabyrinth   – Sahte  site  haritası

     oluşturur.   – Web  açıklık  tarayıcılarının  sahte  sayfalarda   dolaşmasını  sağlar   – Googlebot’lara  bu  site  indexlenmesin  denebilir.  

29. weblabyrinth  

30. Sonuç   •  Defans  şart  ama  yeterli  değil!   • 

    Uymamız  gereken  kurallar  var   – Onların  yok!   •  Siber  Güvenlik  Strateji  ve  Doktrinlarinde   ofansif  yaklaşımlara  yer  verilmeli   •  Hack-­‐Back  yasal  mı?   – Zararlı  yazılımları  herkesin  ulaşabileceği  şekilde   sisteminize  koymayın   – Uyarın!  

31. Teşekkürler         Sorular?