Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Huzeyfe ÖNAL
Bilgi Güvenliği AKADEMİSİ
www.bga.com.tr
Twitter: @bgakademisi/@huzeyfeonal
Siber Dünyada İzleme ve Takip
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Huzeyfe ÖNAL
• Bilgi Güvenliği Danışmanı &...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Amaç
• Siber dünyanın sadece bir eğlence a...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
• Önce korunmak için teknoloji üretirsiniz...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Yeni Dünya Düzeni ve Siber Güvenlik
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Internet Nasıl Çalışır?
Internet, temeli
1...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Internet’te Gizlilik
• Internet ortamında ...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
HTTPS/SSL/TLS
• Güvensiz protokollere şifr...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
SSL
• Secure Sockets Layer (SSL)
• Temelle...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
HTTPS
• WEB trafiğinde şifreleme sağlama a...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sertifika Otoritesi
• PKI altyapısının day...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sertifika Otoriteleri
• En önemli kurumlar...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
10 Puanlık Altın Soru
Kaçımız yeni aldığı ...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
HTTPS Trafiğinde Araya Girme
• SSL bağlant...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
HTTPS MITM Uyarıları
Firefox
Internet Expl...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
İzle(n)meye Karşı Önlemler
• Çoğu popüler ...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Twitter Şifreleme Kanalı (SSL) Desteği
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Facebook Şifreleme Kanalı (SSL) Desteği
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Gmail Şifreleme Kanalı (SSL) Desteği
• Gma...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Hotmail Şifreleme Kanalı (SSL) Desteği
• Ö...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Internet İzleme Sistemleri
• Basite indirg...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Yasal İzleme/Lawful Interception
• Kanunla...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Yasal Olmayan İzleme
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Yasal Olmayan İzleme
Tunus Gmail Örneği
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Paket Başlık Bilgileri
• Mektup zarf ilişk...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Deep Packet Inspection
• DPI=Derinlemesine...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
DPI(Deep Packet Inspection) Örneği
alert t...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
DPI Kullanım Amaçları
• Yasal dinleme - la...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Data Carving…
• Ham veriden orijinal veri ...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Network Data Carving
• Sniffer kullanarak ...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Örnek Uygulama:Eeye Iris
31
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Örnek Uygulama
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
SSL Nasıl Alt Edilir?
• SSL güvenliğindeki...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Tunus Facebook Örneği
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Tunus Sertifika Otoritesi Kullanımı
• Tunu...
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sorunu Kökten Çözen Ülke:İran
EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Türkiye’de Durum
• .
Bilgi Güvenliği AKADEMİSİ
Upcoming SlideShare
Loading in …5
×

Siber dunyada izleme ve takip

477 views

Published on

Published in: Internet
  • Be the first to comment

Siber dunyada izleme ve takip

  1. 1. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr Twitter: @bgakademisi/@huzeyfeonal Siber Dünyada İzleme ve Takip
  2. 2. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Huzeyfe ÖNAL • Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araştırmacısı @BGA • Penetration Tester • Güvenlik Eğitmeni – www.bga.com.tr • Blogger – www.lifeoverip.net
  3. 3. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Amaç • Siber dünyanın sadece bir eğlence aracı değil, dünyanın gidişatını değiştirecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının anlaşılması. • Internet ortamında yasal/illegal izlemeler nasıl gerçekleştirilir, nasıl korunulur.
  4. 4. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR • Önce korunmak için teknoloji üretirsiniz, sonra düşmanlarınız o teknolojiyi kullanır, geliştirdiğiniz teknoloji ile savaşa başlamak zorunda kalır…
  5. 5. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Yeni Dünya Düzeni ve Siber Güvenlik
  6. 6. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Internet Nasıl Çalışır? Internet, temeli 1970’li yıllarda atılmış askeri bir protokol olan TCP/IP üzerinde çalışır.
  7. 7. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Internet’te Gizlilik • Internet ortamında gizlilik (iletişim için) temelde iki şekilde gerçekleştirilir. • İletişim protokollerini güvenli –şifreli- hale getirerek gizlilik. • İletişim protokollerinden bağımsız olarak sadece içeriği özel araçlarla – her iki taraf da aynı şifreleme kullanmalı- şifreleyerek gizleme • İkinci yöntem daha güvenli kabul edilmektedir.
  8. 8. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR HTTPS/SSL/TLS • Güvensiz protokollere şifreleme desteği verme amaçlı geliştirilmiş ara katman protokolleridir. • HTTPS=TLS+HTTP veya SSL+HTTP • Birbirleri yerine kullanılsada temelde farklı protokollerdir • HTTPS/TLS/SSL sadece iletişimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz
  9. 9. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR SSL • Secure Sockets Layer (SSL) • Temelleri Netscape firması tarafından 1994 yılında atılan SSL aynı yılda ticari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarafından standart olarak Kabul edildi. • Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir. • Ilk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.
  10. 10. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR HTTPS • WEB trafiğinde şifreleme sağlama amaçlı geliştirilmiş protokol – HTTP+TLS veya HTTP+SSL
  11. 11. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Sertifika Otoritesi • PKI altyapısının dayandığı en temel güvenlik bileşeni • Sertifika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve yaygınlaşmasındaki en önemli rollerden birine sahiptir. • SSL’in güvenliğinde sertifika otoritesi tüm gücü elinde bulundurur. • Sertifika otoritesinde yaşanacak bir güvenlik problemi sadece o sertifika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir. – Diginotar olayı
  12. 12. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Sertifika Otoriteleri • En önemli kurumlardır • Sertifika otoritesinin ele geçirilmesi o otorite tarafından onaylanan tüm sertifikaları güvensiz hale getirir.
  13. 13. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR 10 Puanlık Altın Soru Kaçımız yeni aldığı bilgisayarında, tabletinde, mobil cihazında yüklü olan güvenilir olarak kabul edilmiş sertifika otoritelerini(CA) kontrol etti?
  14. 14. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR HTTPS Trafiğinde Araya Girme • SSL bağlantılarında araya girme fikri ilk bakışta zor hatta imkansız gibi görülse de gerekli şartlar oluşturulduğunda oldukça kolay başarılabilmektedir • Gerekli Şartlar: – İlk olarak hedef sistemin trafiği APR ile bizim üzerimiden geçecek şekilde kandırılmalıdır. – Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır. • Sahte oluşturulan bu sertifika tüm modern browserlarda kullanıcıya uyarı verecektir. • Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da oldukça rahatsız edici ve problemi belirtici uyarılarla gösterirler. 14
  15. 15. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR HTTPS MITM Uyarıları Firefox Internet Explorer 7
  16. 16. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR İzle(n)meye Karşı Önlemler • Çoğu popüler web hizmeti tüm trafiği şifreleyecek şekilde SSL hizmeti sunmaya başlamıştır. • Öncüsü Google • Facebook • Hotmail • Twitter • Hotmail • …
  17. 17. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Twitter Şifreleme Kanalı (SSL) Desteği
  18. 18. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Facebook Şifreleme Kanalı (SSL) Desteği
  19. 19. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Gmail Şifreleme Kanalı (SSL) Desteği • Gmail SSL’e geçiş serüveninin öncülerinden…
  20. 20. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Hotmail Şifreleme Kanalı (SSL) Desteği • Öntanımlı olarak SSL açık gelmiyor
  21. 21. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Internet İzleme Sistemleri • Basite indirgersek ağ trafiği analiz araçları – Sniffer: tcpdump, Wireshark, Snort, Ngrep • Sniffing sistemlerinin işe yaraması için akan trafiğin “clear text” olması gerekir. • Şifreli trafik izlenebilir fakat anlmalı bir bilgi edinilemez.
  22. 22. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Yasal İzleme/Lawful Interception • Kanunlar çerçevesinde yapılan izleme • Genellikle ISP seviyesi izleme gerçekleştirilir. • Bazı durumlarda son kullanıcı bilgisayarına zararlı yazılım yükleyerek gerçekleştirildiği de olmuştur.
  23. 23. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Yasal Olmayan İzleme
  24. 24. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Yasal Olmayan İzleme Tunus Gmail Örneği
  25. 25. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Paket Başlık Bilgileri • Mektup zarf ilişkisi • Amaç mektubu meraklı gözlerden Koruyarak hedefe iletilmesini sağlamak. • Zarf=header=başlık bilgisi • Paketin nereye gideceğini belirler. • Mektup=payload=gerçek veri Taşımak istediğimiz veri. Her protokolün header kısmı ve Payload kısmı farklı olabilir. Firewall->Header IPS- >Payload
  26. 26. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Deep Packet Inspection • DPI=Derinlemesine Paket Analizi • Paketin ötesinde taşınan protokole ait başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması – Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala – Facebook’ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.
  27. 27. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR DPI(Deep Packet Inspection) Örneği alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS ( msg:"ET P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; flow:to_server,established; content:"User-Agent: ABC/ABC"; nocase; sid:2003475;) alert http $HOME_NET any -> $EXTERNAL_NET any ( msg:"ET P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; header.useragent:"ABC/ABC"; sid:2003475;) Hatalı IPS Kuralı Doğru IPS Kuralı
  28. 28. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR DPI Kullanım Amaçları • Yasal dinleme - lawful intercept, • Trafik İzleme, • QoS (Hizmet Kalitesi) Güvencesi, • Özelleştirilmiş Fiyatlandırma & Faturalandırma, • Internet Trafiği Paylaşımı (Peering) Kontrolü, • Güvenlik (IPS, DLP)
  29. 29. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Data Carving… • Ham veriden orijinal veri elde etme yöntemi 1010101 1010101 0101010 1010101 0101010 101 Sniffer Data Carving
  30. 30. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Network Data Carving • Sniffer kullanarak kaydedilmiş ikili(binary) dosyalardan(.pcap formatında veya farklı formatlarda) orjinal veri elde etmek • Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma – Echelon mantığı – Günümüzdeki DLP sistemlerinin atası sayılabilir • Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir, kaydedebilir. • Network forensic çalışmalarının temelini oluşturur
  31. 31. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Örnek Uygulama:Eeye Iris 31
  32. 32. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Örnek Uygulama
  33. 33. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR SSL Nasıl Alt Edilir? • SSL güvenliğindeki en önemli bileşen sertifika otoritesidir. – Sertifika otoritesi tek başına işe yaramaz, istemci yazılımları tarafından güvenilir olarak kabul edilmelidir. • Dünya üzerindeki sertifika otoritelerinden birinin hacklenmesi ve sertifika üretim için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL kullanımını anlamsız kılabilir! – İstisnalar mevcuttur. • Güvenilir bir sertifika otoritesi tarafından onaylanmış sertifikalar hatasız işleme alınır.
  34. 34. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Tunus Facebook Örneği
  35. 35. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Tunus Sertifika Otoritesi Kullanımı • Tunus hükümeti – Detaylar için wikileaks belgeleri
  36. 36. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Sorunu Kökten Çözen Ülke:İran
  37. 37. EMEA INTELLIGENCE - 2012 / İSTANBUL BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Türkiye’de Durum • .
  38. 38. Bilgi Güvenliği AKADEMİSİ

×