30 10 2014

Siber Güvenlik Etkinligi - Ankara / 6 Kasım 2014

Son yıllarda dünyaya damgası vuran ve siber dünyadan gelebilecek tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, siber güvenlik kavramını bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur.

Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr) ve Kamu Siber Güvenlik Derneği (www.kamusgd.org.tr) işbirliğiyle ortaklaşa düzenlenecek olan Siber Güvenlik Etkinliği, kamu ve özel sektördeki ilgili uzmanları bir araya getirerek bu eksendeki soru ve sorunlara cevap ve çözüm önerileri sunmayı hedeflemektedir.

Yer & Tarih
Siber Güvenlik Etkinliği, 6 Kasım 2014 tarihinde TOBB Ekonomi ve Teknoloji Üniversitesi Söğütözü Caddesi No:43, Söğütözü/Ankara adresinde gerçekleştirilecektir.
Etkinlik programına http://www.siberguvenlik.org/p/konferans-programi.html adresinden ulaşılabilir.
Katılım & Kayıt:
Kayıtlar http://siberguvenlik.eventbrite.com adresi kullanılarak yapılmaktadır.
Not: Kayıt konusunda problem yaşayanlar veya kurum adına toplu katılım gerçekleştirmek isteyenler bilgi@siberguvenlik.org adresine e-posta gönderebilirler.
İletişim:
Konferansla ilgili tüm geri bildirimler için bilgi@siberguvenlik.org adresine e-posta gönderebilirsiniz.
Ulaşım:
TOBB Ekonomi ve Teknoloji Üniversitesi Söğütözü Caddesi No:43, Söğütözü/Ankara

15 10 2014

SSLv3 POODLE Zafiyeti

SSLv3 POODLE (Padding Oracle On Downgraded Legacy Encryption) zafiyeti bir çeşit kriptografik tasarım zafiyetidir. Zafiyet esas olarak SSLv3’ün kripto bloğunun sonuna eklenen padding bitlerinin içeriğini belirlememesi ve önce deşifre sonra kimlik doğrulama işlemini yapmasından kaynaklanmaktadır.

Bu açık sayesinde bir saldırgan 1/256 ihtimalle SSLv3 ile şifrelenmiş trafiği başarılı bir şekilde deşifre edebilir. Bu ihtimal bir byte içindir, dolayısıyla toplamda N byte’lık bir veriyi deşifre etmek için ortalama 256*N adet deneme yapmak gerekmektedir.

Zafiyetin en uygulanabilir saldırı vektörü MITM (man in the middle) durumudur. İstemci ile sunucu arasındaki trafiğin kendi üzerinden geçmesini sağlayan saldırgan, SSL el sıkışması adımlarına müdahele edip bağlantıda SSLv3 kullanılmasını zorlayabilir. Tabi istemci ve sunucunun, daha güncel protokollerin yanısıra SSLv3’ü de destekliyor olması gerekmektedir.

Yukarıdaki koşulları sağlayan bir saldırgan istemci ve sunucu arasındaki SSLv3 ile şifrelenmiş trafiği kısmen de olsa deşifre etme şansı bulacaktır. Trafik içerisinden elde edilen bazı önemli bölümler (örneğin HTTP çerezleri) oturum hırsızlığı gibi son derece tehlikeli saldırıların gerçekleştirilmesine imkan tanır.

Bir sunucunun SSLv3’ü destekleyip desteklemediği aşağıdaki bash betiği kullanılarak kontrol edilebilir.

#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
  if echo "${ret}" | grep -q 'Cipher.*0000'; then
    echo "SSL 3.0 disabled"
  else
    echo "SSL 3.0 enabled"
 fi
else
  echo "SSL disabled or other error"
fi


İstemci tarafında ise tarayıcıları test etmek için https://www.poodletest.com/ adresi kullanılabilir.


Kaynaklar:
https://access.redhat.com/articles/1232123
https://www.imperialviolet.org/2014/10/14/poodle.html

10 10 2014

Nessus Denetleme Dosyaları Aracılığı İle Güvenlik Sıkılaştırma Denetimleri


Başka cihazlarla etkileşim halinde olan neredeyse tüm cihazlar için alınması gereken güvenlik önlemleri mevcuttur. Daha karmaşık cihazlarda alınması gereken önlemlerde, haliyle çok olmaktadır. Bazı sistemler için alınması gereken önlemler kitapçıklar halinde yeni sürümler ile birlikte yayınlanmaktadır. Yayınlanan standartlar arasında en çok kabül gören standartlar  CIS security Benchmark’lardır. CIS tarafından hangi ürünler için güvenlik sıkılaştırma rehberlerinin yayınlandığı, aşağıdaki linkten incelenebilir ve oluşturulmuş basit form doldurularak gerekli doküman indirilebilir.

Zafiyet tarama araçları arasında en çok tanınan ve kullanılan araçlardan biri olan Nessus programı geliştiricileri, CIS tarafından yayınlanan hemen her güvenlik klavuzları için otomatize taramalara imkan veren, modüller geliştirilir. Bu modüller “audit” dosyaları olarak da tanınmaktadır. XML tabanlı yazılmış bu dosyalar indirilip sisteme tanıtıldıktan sonra hedef sistem bir kaç fare tıklaması ile gerekli güvenlik önlemleri için tarananabilir.
Aşağıda örnek bir tarama çıktısı verilmiştir;



Tarama sonucunu rapor olarak almak mümkün. Rapor
  • HTML
  • PDF
  • Nessus
  • Nessus DB
  • CSV
formatlarında alınabilir. Rapor sonucunda her güvenlik adımı için iki durum bulunabilir;
PASSED: güvenlik önleminin sistemde mevcut olduğunu belirtir.
FAILED: güvenlik önleminin sistemde henüz alınmadığını belirtir.


Bir sistemin Nessus denetleme dosyaları ile nasıl denetlendiğini göstermek için hedef sistem olarak bir çok kurumda kullanılan Redhat Enterprise kullanılacaktır.

Not: Burada amaç olarak Nessus denetleme dosyalarının kısaca kullanımı ve sonucunun yorumlanması anlatılacağından, Nessus'da politika oluşturulması ve tarama detaylarından bahsedilmeyecektir.
Öncelikle sıkılaştırma işleminin yürütüleceği bir politika tanımlanmalıdır. Politikalar sayesinde bir sistemde tüm açıklıklar test edilmez sadece o hedef sistemler için geçerli olan açıklıkların varlığı tespit edilmeye çalışılır. Burada oluşturulacak politika “Advanced Policy” ama diğerleri de seçilebillir nihayetinde eklentiler kısmı düzenlenecektir. İlgili sayfaya ait ekran görüntüsü;



“General Settings” sekmesinden Name parametresine politika ismi girilir.
“Credentials” sekmesinden hesap tanımlamak gereklidir. Hedef sistemde oturum açılmadan sıkılaştırma adımlarının kontrolü mümkün değildir. Hedef sistemin işletim sistemine göre bir seçim yapılır, burada hedef sistem “Redhat Enterprise Linux” olduğu için “SSH Settings özelliği seçilecektir. Gerekli değerler girilir ve kaydedilir.


Sonra “Plugins” sekmesinden tüm sadece iki politika gurubu aktif edilir.
  1. Policy Comliance
  2. Redhat Local Security (burada Redhat Enterprise Linux kullanıldğı için).
Daha sonra Prefences sekmesinden “Prefences Type” özelliklerinden “Unix Compliance Checks” ayarları seçilir ve hedef sistem için indirilen denetleme dosyası tanıtılır.
İlgili düzenlemelerin yapıldığı Prefences penceresine ait ekran görüntüsü;

Ayarlar kaydedilten sonra sıra bir tarama başlatmaya gelir.
Scans sekmesinden “New Scan” butonu tıklanır ve ilgili değerler doldurulur. İlgili alanların doldurulmuş halinin ekran görüntüsü;



Tarama bittikten sonra elde edilecek görüntü;



Burada önemli olan ve dikkat edilmesi gereken “Failed” ibaresinin bulunduğu tarama sonuçlarıdır.

Bu aşamadan sonra atılmayan güvenlik sıkılaştırma adımlarının atılması kalmıştır. Her ne kadar nessus denetleme dosyaları özenle hazırlanmış olsa da sunulan çözüm adımları açıklayıcı olmayabilir. Bundan dolayı nessus çıktılarından hangi adımların atılması gerektiği belirlenip CIS dokümanlarından da ilgili adımlar atılırsa hem daha anlaşılır hemde sağlıklı olacaktır.

9 10 2014

IstSec '14 Istanbul Bilgi Güvenliği Konferansı - 15 Ekim 2014

Ülkemizde eksikliği her geçen gün daha fazla hissedilen ürün/teknoloji bağımsız, çözüm odaklı güvenlik anlayışına katkı sağlamak amacıyla, her yıl düzenli olarak gerçekleştirilen İstanbul’a özel Bilgi Güvenliği Konferansı olan İstSec, bu yıl 15 Ekim 2014 Tarihinde Bahçeşehir Üniversitesi Beşiktaş Kampüsünde gerçekleştirilecektir.
Türkiye’den ve çeşitli ülkelerden konusunda söz sahibi bilgi güvenliği uzmanlarını ve BT güvenliği meraklılarını buluşturacak olan İstSec 2014’ün bu yılki ana teması “Siber Güvenlikte Ortak Vizyon: Yetişmiş İnsan Kaynağı” olarak belirlenmiştir
BGA ekibinden Onur ALANBEL ve Huzeyfe ÖNAL aşağıdaki sunum konularıyla katılım sağlayacaktır.
Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulum ve Yönetimi Onur ALANBEL - A'dan Z'ye Son Çıkan Shellshock Zafiyeti İnceleme ve İstismar Yöntemleri

8 10 2014

Siber güvenlik dünyasında son yılların önemli konularından biri APT olarak karşımıza çıkmaktadır. Farklı tanımları olsa da APT - Advanced PErsisten Threat- kısaca hedef odaklı karmaşık ve kalıcı tehditler anlamına gelmektedir ki burada her bir harfi önem taşımaktadır. Klasik arz talep dengesi mantığıyla hareket edildiği için piyasada hızlı bir şekilde APT engelleme ürünlerinin çıkmaya başladığını görmekteyiz. Bu ürünlerin bir kısmı gerçekten APT kavramını karşılar nitelikte olsa da büyük çoğunluğu klasik Antivirüs/IDS ve Antimalware ürünlerine yapılan makyajla APT olarak sunulmasıdır.

7 10 2014

BGA Bilgi Güvenliği Danışmanlık Hizmetleri

BGA olarak Bilgi Güvenliği danışmanlık çatısı altında kurumun güvenlik ihtiyaçlarını anlayan, saldırıları öngörebilen ve siber güvenlik konusunda doğru alanda yatırım yapılmasını sağlamayı amaçlıyoruz. Genişleyen kadromuzla Türkiye ve Azerbaycan'ın ileri gelen kamu kurumları ve özel şirketlerine stratejik siber güvenlik danışmanlığı yapmaktayız.

BGA, Yetkili "Pearson VUE" Test Merkezi Oldu

Pearson VUE ile yaptığımız görüşmelerin olumlu sonuçlanmasıyla birlikte 25 Eylül 2014 tarihi itibariyle BGA İstanbul şubesinde aşağıda ismi geçen firmalara ait sınavları verme yetkisi tanınmıştır. Gelen yoğun talep nedeniyle şimdilik sadece hafta içi Çarşamba günleri sınav katılım talepleri değerlendirilmektedir.
Linux sistemlerde bellek analizinin son adımında şüpheli kernel aktiviteleri ve dosya sistemi işlemleri tespit edilmeye çalışılır. Bu sayede sisteme bağlı olan IO cihazları, son yapılan IO aktiviteleri, rootkit gibi kernel seviyesinde çalışan zararlıların etkileri gözlenir.

İlk olarak “./vol.py linux_dmesg” komutuyla sistem mesajları görüntülenir. Örnekte sisteme bağlanılan USB belleğin adı (Kingston DataTraveler) ve atanan cihaz adı (sdc) vurgulanmıştır.

2 10 2014

Linux Sistemlerde Bellek Analizi - III (Süreçler)

Bellek analizinde ağ hareketlerinden (bkz: http://blog.bga.com.tr/2014/09/linux-sistemlerde-bellek-analizi-ii-ag.html) sonra gerek bağlantılarla ilişkili süreçlerin, gerekse diğer şüpheli süreçlerin incelenmesi gerekir. Bellekteki süreçler, Volatility kullanılarak etraflıca analiz edilebilir.


İlk olarak “vol.py linux_pslist”    komutu ile bellek dökümünün alındığı anda sistemde çalışan tüm süreçler listelenir. Ağ hareketlerinden görülen 4145 PID’li sürecin Uid, Gid ve Start Time gibi detayları da bu listede görülebilir.

30 09 2014

Ağ cihazlarının yönetim panellerine WAN arayüzünden erişimin açık bırakılması güvenlik açısından son derece tehlikelidir. Bu tip cihazlara erişimde kullanılan kullanıcı adı genellikle "admin" yada "root" tur. Bir saldırganın WAN arayüzünden erişimi açık bırakılmış bir cihazın yönetim paneline erişmesi için gerekli olan parola bilgisi kaba kuvvet saldırıları ile elde edilebilir. Bu makalede WAN arayüzünden yönetim paneli açık bırakılmış bir router'ın parolası kaba kuvvet ile elde edilip yönetim paneline ulaşılacaktır.
Örnek olması açısından hedef cihaz, WAN arayüzünün 80. portundan erişilebilecek şekilde yapılandırmıştır. Çeşitli araçlar kullanılarak 80. portu açık IP adresleri tespit edilebilir. Aşağıda WAN arayüzünden ulaşılabilen bir cihazın ekran alıntısı verilmiştir.


Görüldüğü üzere marka ve modeli belli olan cihazın kullanıcı adı kullanım klavuzu elde edilerek öğrenilebilir. Cihazın kullanıcı parolası kısmına kaba kuvvet saldırısı yapılarak parola elde edilebilir.
Bu iş için kullanılabilecek araçlardan bir tanesi "hydra" dır. Hydra aracını kullanarak sözlük saldırısında bulunulabilir. Örnek bir "hydra" kullanımı parametreleri ile birlikte verilmiştir.


Burada farklı parametreler kullanarak daha sağlıklı bir deneme yapılabilir, örneğin "-f" parametresi geçerli parola bulunduktan sonra taramayı sonlandırır.
"hydra" aracının buradaki kullanımına ve sonucuna ait ekran alıntısı aşağıda verilmiştir.


Program çıktısından da görüldüğü gibi, kullanıcı parolasının "bga123" olduğu tespit edilmiştir. Elde edilen kullanıcı adı ve parola bilgileri ile sisteme giriş yapılmaya  çalışıldığında;


Görüldüğü üzere hedef cihazın yönetim paneline erişilebilmiştir. Bu noktadan sonra saldırganlar tarafından verilebilecek zararlar senaryolara göre değişebilir.
Bu tip saldırılardan korunmak adına cihazların yönetim panellerine WAN arayüzünden erişim seçeneği aktif edilmemelidir.