17 04 2014

Günümüz siber güvenlik dünyasının temelini oluşturan iki temel bileşenden biri uygulama güvenliğidir. Uygulamalar arka planda çalışan protokol ne kadar güvenli olursa olsun geliştiricisinin güvenlik hakkındaki bilgi ve tecrübesi kadar güvenli olacaktır. Uygulama geliştirme süreçlerinde alınmayan temel önlemler uygulama calışır duruma getirildiğinde ciddi güvenlik zafiyetlerine yol açmaktadır. 
Siber dünya basit bir uygulama hatasından tüm sistemin, ağın veya veritabanının ele geçirildiği örnekleriyle doludur. BGA(Bilgi Güvenliği AKADEMİSİ) ve LOGICOM işbirliğiyle 30 Nisan 2014 tarihinde Mövenpick Otelde düzenlenecek olan “Uygulama Güvenliğinde Proaktif Yaklaşım” etkinliğinde web uygulama güvenliği konusu tüm yönleriyle ele alınarak katılımcılara konu hakkında bilgi aktarımı sağlanacaktır

Etkinlik sadece kurumsal firmalara açıktır. Etkinliğe kayıt olmak icin lcv@bga.com.tr adresine e-posta gönderebilirsiniz.

16 04 2014

Ağ trafiği analizi, zararlı yazılım analizinin önemli bir bölümüdür. Günümüz zararlılarının komuta merkeziyle şifreli iletişim kurma eğilimi düşünüldüğünde bu trafiği şifresiz olarak elde edebilmenin gerekliliği de anlaşılmaktadır. Yazıda SSL kullanan bir zararlının trafiğinin nasıl analiz edilebileceği komuta merkeziyle HTTPS kullanarak iletişim kuran zararlı örneği üzerinden anlatılmıştır.


Kullanılan Araçlar:
  • Burp Suite
  • iptables
  • Wireshark
  • msfpayload

15 04 2014

TLS’in heartbeat eklentisindeki bir programlama hatasından kaynaklanan sorun sayesinde internete açık zafiyet içeren OpenSSL sürümünü kullanan herhangi bir sistemin belleğindeki bilgiler 64 kbyte’lık bölümler halinde alınabilmektedir.

13 04 2014

Bilgi Güvenliği AKADEMİSİ Nisan-Mayıs 2014 Etkinlik Takvimi


Bilgi Güvenliği AKADEMİSİ olarak her yıl Türkiye’degerçekleştirilen siber güvenlik içerikli etkinliklere aktif destek vermeye çalışıyoruz. Ekibimizin iş yoğunluğuna bağlı olarak bazı aylarda etkinlikler için daha fazla zaman ayırabiliyoruz. 
Nisan-Mayıs aylarında gerçekleştirilecek ve BGA olarak katkıda bulunacağımız/katılacağımız etkinliklere ait bilgileri aşağıdaki tabloda bulabilirsiniz.


Etkinliklerle ilgili detay bilgiler tarihleri yaklaştıkça BGA Twitter hesabından (@bgasecurity), etkinlikde sunulan içeriğe ait dökümanlar BGA Slideshare hesabından (slideshare.com/bgasecurity) duyurulacaktır.

10 04 2014

Mobile Zararlıların Network Seviyesinde Tespiti

Akıllı telefonlar hayatımızın ve işimizin ciddi bir parçası olduğundan beri saldırganların hedefinde. Şuan sektörde ağırlıklı olarak yer alan Android, iOS,Windows Phone vb. mobil işletim sistemlerine sahip çok sayıda akıllı telefon bulunmaktadır.
Akıllı telefonlar sürekli internete bağlı olduğu için ciddi risk altındadır ve kullanıcıların şahsi verileri ile şirket verileri sürekli risk altındadır. Bir mobil cihazı uzakdan ele geçiren saldırgan, ortam dinleme, webcam’den görüntü kaydetme, adres defteri, mesaj kutusu vb. kayıtlara ulaşma gibi bir çok işlemi yapabilmektedir.
Gelişmekde olan bir sistem olduğu için kullanıcıları da henüz yeterli bilgi güvenliği bilincine sahip değillerdir.
Bu blog girdisinde, Android sistemler için zararlı/casus yazılımların network seviyesinde tespiti için yapılacak pratik çalışmalar yer almaktadır. Bu uygulamada zararlı android uygulamasının davranışlarını ağ trafiğini izleyerek gözlemleyeceğiz. Şüphelendiğiniz bir uygulamayı bu yolla telefonunuza zarar vermeden inceleyebilir veya hali hazırda telefonunuzda benzer bir zararlı/casus yazılım var mı trafiğini izleyerek keşfedebilirsiniz.
Lab. Kurulumu
Bu çalışmada Kali linux dağıtımı kullanılmıştır.Tercih ettiğiniz işletim sistemine göre uygulamaların kurulum adımları farklılık gösterebilir.
Analiz için gerekli labaratuvar araçları aşağıdaki gibidir. Ayrıca detaylı olarak Android lab. kurulumu için aşağıdaki blog girdisine göz atabilirsiniz.
Ağ boyutlu analiz yapabilmek için Android emülatörü gereksinimlerimiz arasında yer almaktadır.Emülatör android geliştiricileri tarafından herhangi bir bilgisayar ortamında android bir cihaza sahip olmayan geliştiricilerin yazdıkları yazılımları test edebilmeleri için üretilmiş android cihaz simülasyonudur.Ayrıca emülatör mobil cihazımızı da riske atmadan gerekli güvenlik testlerini yapabilmemize olanak sağlar.
Android Gereksinimleri:
Android Emülatör:
Ağ paketi analizi için:
Tcpview:
Wireshark:
Uygulama:
Uygulama için gerekli lab araçlarını kurduktan sonra terminalden şu komutu girelim.
sh 4.2 # emulator -tcpdump emulator.cap @Android-Malware-Test-device 
Screenshot from 2014-04-05 02:11:44
Bu komutu girdikten sonra emülator aracılığıyla çalıştırdığınız tüm uygulamaların ağ trafiği  emulator.cap dosyasına kaydedilecektir.
android
Girilen komutun ardından emülatör şekildeki pencerede açılacaktır.
Emülatör komutunun ardından emülatör bu şekilde çalışarak ağ trafiğini emulator.cap(capture) dosyasına kaydedecektir.
Daha sonra ise bu dosya wireshark vb. bir network analiz  aracı ile analiz edilebilir.
wireshark
Bu uygulamaların bağlantı kurdukları internet urlleri yada ip adreslerinin virustotal,scanurl gibi servisler yada google arama motoru arama sonuçlarına göre zararlı olup olmadıkları teyit edilerek uygulamanın malware tipi davranış gösterip göstermediğine karar verilebilir.
pcap2
pcap3.png
Bağlantı kurulan linkleri virustotal ve googlede taratarak güvenilirliklerini kontrol edelim.
virustotal
google
Böylece sitelerin trojan türevi işlev gören zararlı siteler olduğu kanısına ulaşmış olduk.Son olarakta Mart ayında aktivite olan literatüre Trojan proxy:Not Compatible.A(Detaylı Bilgi) olarak geçen android malwareni inceleyelim.Bu malware bir güvenlik araştırmacısının IDS(Intrusion Detection System)’sine takılan ağ trafik linklerini incelemesi sonucunda keşfedilmiştir.Bu malware genellikle yahoo üzerinden atılan spam mailler ile kullanıcıların mobil cihazlarına enfekte olmaktadır.Akabinde ise güvenlik güncellemesi isminde enfekte olmuş bir apk dosyasını cihaza kurdurmaya çalışmaktadır.
Screenshot_from_2014-04-07.png
Burada uygulama pek güvenli olduğunu düşünmediğim bir Rusya lokasyonlı siteye yönlendirme isteğinde bulunuyor.
Screenshot_from_2014-04-07-2.png
Screenshot_from_2014-04-07-3.png
Bu konumda ise url değişmesi yaparak zararlı url linkinden sözde “ güvenlik uygulaması “ isimli trojan türünden zararlı uygulamayı kullanıcıya kurdurmayı amaçlamaktadır.Linklerin enfekte durumunu inceleyelim:
Screenshot from 2014-04-08 00:41:57.pngScreenshot from 2014-04-08 05:53:42.png
Yapılan son link teyit taramasıylada artık kurup testini yaptığımız android uygulamalarımızın güvenilir olmadığı konusunda hemfikiriz.Testi yapılan ve farklı tür davranış gösteren mobil uygulamalarımızı https://support.google.com/googleplay/answer/2479847 adresindeki yönergeleri takip ederek rapor ederek testimizi sonlandırıyoruz.
Yazar: Oğuzhan AKKAYA

Referanslar:

3 04 2014

Zararlı yazılımlar her firmanın başa çıkmakla zaman ve para harcadığı maliyetli bir konudur. Günümüzde yaşanan zararlı yazılım tehditlerini göz önünde bulundurarak diyebiliriz ki  zararlı yazılımların Antivirus, Antilogger vb. host-based koruma sistemlerine karşı kendilerini tanınmaz kılmaları oldukça kolay. Dolayısıyla, zararlı yazılımları tespit etmek ve engellemek için network seviyesinde çalışan sistemler daha çok verim sağlamaktadır.

Zararlı yazılımların hedef sistemlere bulaştırılmasından önce (indirilme anında), sistemlere enfekte oldukları ilk anda ve zararlı yazılım enfekte olmuş bir sistemi tespit için Saldırı Tespit ve Engelleme sistemleri büyük rol üstlenmektedir.

Bu blog girdisinde, mevcut Saldırı Tespit Sisteminizin (IPS) bilinen zararlı yazılımları tanımada ne kadar efektif/başarılı olduğunu nasıl test edebileceğiniz anlatılmıştır. Ayrıca, IPS vb. sistemleri tercih etmeden önce bu gibi testlerle başarısını ölçebilir ve/veya gerekli sıkılaştırma çalışmalarında bulunabilirsiniz.

Lab. Kurulumu

Bu çalışmada, zararlı yazılımların trafiğini simüle etmek için aşağıdaki bağlantıda yer alan Zararlı yazılımlara ait kaydedilmiş trafikler kullanılmıştır.

http://contagiodump.blogspot.com.tr/2013/04/collection-of-pcap-files-from-malware.html

İndirdiğiniz arşiv dosyaları parola korumalıdır, kullanacağınız parola formatı şu şekildedir; 'infected666X'  , X değeri dosyanın .zip uzantısından bir önceki harfidir.

Örneğin BIN_Zeus_b1551c676a54e9127cd0e7ea283b92cc-2012-04.pcap.zip dosyasını açmak için parolası infected666p olacaktır.

Çalışmada, Saldırı Tespit ve Engelleme Sistemi olarak Snort yer almaktadır ve tüm community kuralları aktiftir.

Uygulama

Kaydedilmiş trafiği yeniden oynatmak için tcpreplay yazılımını kullanabiliriz. Zeus zararlısına ait trafik aşağıdaki şekilde yeniden oynatılmıştır.
# tcpreplay -i eth0 -t BIN_Zeus_b1551c676a54e9127cd0e7ea283b92cc-2012-04.pcap
sending out eth0
processing file: BIN_Zeus_b1551c676a54e9127cd0e7ea283b92cc-2012-04.pcap
Actual: 413 packets (261750 bytes) sent in 0.05 seconds
Rated: 5235000.0 bps, 39.94 Mbps, 8260.00 pps
Statistics for network device: eth0
Attempted packets: 413
Successful packets: 413
Failed packets: 0
Retried packets (ENOBUFS): 0
Retried packets (EAGAIN): 0

2 04 2014

Winrar, popüler dosya arşivleme yazılımıdır. Dosyaları sıkıştırmak ve açmak için yaygın olarak kullanılır.

Kısa süre önce bir güvenlik araştırmacısı tarafından keşfedilen bir zafiyet, winrar içerisinde arşivlenen dosyaların orjinal isimleri korunarak, yalnızca görünen isimlerinin değiştirilebildiğini gösterdi.

Bu zafiyet ile saldırganlar son kullanıcılara yönelik sosyal mühendislik saldırıları yapmaya imkan kazanıyor. Bu durumu ve korunma yöntemini aşağıdaki örnekle pekiştirebiliriz;

b.exe bu örnek için oluşturulmuş casus yazılım, bunu winrar kullanarak .zip formatında arşivliyoruz.



Daha sonra herhangi bir  hex editor ile açarak, b.exe'nin sahip olduğu ikinci ismi b.jpg olarak değiştiriyoruz.



24 03 2014

Bilgi Güvenliği AKADEMİSİ eğitimleri için hazırladığımız notların bir kısmını Slideshare hesabı (www.slideshare.com/bgasecurity) paylaşmaya başladık. Aşağıda paylaşım için siteye eklenen eğitim notlarının linklerini bulabilirsiniz. Eğitim notları güncellendikce bir önceki sürümlerini yine Slideshare üzerinden paylaşmaya devam edeceğiz. Notlar ile ilgili yorum ve önerilerinizi bilgi@bga.com.tr adresine gönderebilirsiniz.

23 03 2014

BURP - SQLi ile Giriş Paneli Atlatma Saldırıları

Arka tarafta veritabanı bağlantısı olan kimlik doğrulama amaçlı kullanılan login formları yeterli girdi denetimi yapılmadığı durumlarda kullanıcı adı / parola bilgisini bilmeyen saldırganlar tarafından atlatılabilmektedir. Login bypass işlemini başarılı gerçekleştiren saldırgan user/pass bilgisine ihtiyaç duymadan hedef sisteme yetkili kullanıcı haklarıyla erişebilir.

Burp aracı web tabanlı uygulamaları güvenlik testi son derece kolaylaştıran önemli uygulamalardan biridir. Bu yazıda Burp aracı kullanarak BGA BANK (Bankalara ait güvenlik zafiyetlerini içeren web uygulaması) uygulamasındaki login bypass işleminin nasıl gerçekleştirilebileceği anlatılmaktadır.


Senaryo : Hedef sistem üzerinde tespit edilen(kullanıcı giriş paneli, yönetim paneli vs.) girdi noktaları üzerinde  SQLi ile giriş paneli atlatma saldırıların nasıl gerçekleştirilmesinden bahsedilecektir.

21 03 2014

BGA Bilişim Güvenliği Staj Okulu 2014


Bilişim güvenliği alanında kariyer yapmak isteyen üniversite öğrencilerine Bilgi Güvenliği AKADEMİSİ’nden staj fırsatı.

Bilgi güvenliği AKADEMİSİ, 21. yüzyılın en önemli mesleklerinden biri olarak görülen Siber Güvenlik konusunda kendini yetiştirmek, kariyerini siber güvenlik konusunda ilerletmek isteyen üniversite öğrencilerini BGA Staj Okulu’na davet ediyor.

Bilgi Güvenliği AKADEMİSİ’nin bilgi/bilişim güvenliği konusundaki deneyim ve uzmanlığını öğrenciler ile paylaşacağı “BGA Staj Okulu” gerçek proje uygulamalarıyla katılımcılarına güvenlik konusunda yeni deneyimler ve farklı bakış açısı sunacaktır.