Sizce Kontroller ile kastedilen nedir?
Target veri ihlalini aklayan bu makalenin yazar, farkl kontrollerin Target iin bu kt olay nleyebileceini
savunuyor.
Yazarn nermesine katlmadan veya katlmadan nce, size unu soraym: Hedef durumundaki
"kontroller" terimleriyle yazarn ne demek istediini dnyorsunuz?
Target Corporation, Walmart'n ardndan Amerika Birleik Devletleri'ndeki en byk ikinci indirimli
maaza perakendecisidir ve S&P 500 Endeksinin bir bileenidir. Halk arasnda "Tar-jay" olarak da
bilinir.
stismar ve kaybedilen varlklar
27 Kasm 2014 ile 15 Aralk 2014 arasnda Target'n gvenlik a hedeflendi ve saldrganlar yaklak 2000
Target maazasndan alnan yaklak 70 milyon kredi kart verisini alabilirdi. 11 GB'n zerinde verinin
alnd tahmin ediliyor. Bu ihlal, sat noktas (POS) sistemlerindeki verilere eriilerek yapld. oklu saldr
vektrleri tasarland ve retildi. Satclar kimlik av saldrsna urad. A ayrm yoktu, sat noktas sistemleri
bellek kazyan kt amal yazlmlara kar savunmaszd ve Target tarafndan kullanlan alglama stratejileri
baarsz oldu.
Yeterli kontrollerin alnmamas
zleme yazlm (FireEye) izinsiz girii tespit edebildi ve ardndan Hindistan, Bangalore'deki personeli
uyard. Bangalore ofisi de Minneapolis'teki Target muadillerini uyard, ancak sorunu hafifletmek iin
herhangi bir ilem yaplmad. Hedef, ancak Adalet Bakanl onlarla temasa getiinde harekete geti.
Gvenlik a byle kullanld
Saldrganlar, gvenlik yamalarn ve sistem gncellemelerini datmak iin Target ve platform (Microsoft
sanallatrma yazlm), merkezi ad zmlemesi ve Microsoft System Center Configuration Manager
(SCCM) hakknda iyi miktarda aratrma yapt. Target'n HVAC satclarnn bir listesini karabildiler.
Satc soutma satclarndan biri olan Fazio Mechanical, bir Kt Amal Yazlm (Citadel parola alan bir
bot program) yklemek iin e-posta yoluyla dolandrld. Kt amal yazlm satcnn kimlik bilgilerini ald ve
saldrganlar Target'n satc portalna eriebilir. Saldrganlar daha sonra yanl yaplandrlm sistemlerde
gvenlik a bulabilir ve bylece aa szabilir. Kantlanmam kaynaklar, Fazio'nun kurumsal srm yerine
Malwarebytes kt amal yazlmdan koruma yazlmnn cretsiz srmn kullandn iddia etti. cretsiz srm, istee
bal bir tarayc olduu iin gerek zamanl koruma salamad.
Saldrganlar aa szdktan sonra, kt amal yazlm ("Kaptoxa") POS sistemlerine byk olaslkla otomatik
bir gncelleme ilemi araclyla yklemeyi baardlar.
Daha sonra kt amal yazlm, kaydrldnda 2000 POS'a yaylm POS sistemlerinden tm kredi kart
ayrntlarn alabilir. Veriler bir .dll dosyasna kaydedildi ve 139, 443 veya 80 numaral balant noktalar
zerinden geici bir NetBios paylamnda sakland.
Kredi kartlar alnd ve karaborsada veya karanlk ada satld.
Mali Kayp
Target'n veri ihlali ona dorudan 252 milyon dolara mal oldu. Bu maliyetin 90 milyon dolar sigorta
tarafndan karland. Ayrca, 31 Ocak'ta sona eren 2014'n drdnc eyrei iin ihlalle ilgili net giderler iin 4
milyon dolar harcamak zorunda kald. O mali ylda, Target, ihlalle ilgili 191 milyon dolarlk net
harcama yapmak zorunda kald ve bunun 46 milyon dolar g.
include ltiostreamgt include ltstringgt include .pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
1. Sizce Kontroller ile kastedilen nedir?
Target veri ihlalini aklayan bu makalenin yazar, farkl kontrollerin Target iin bu kt olay nleyebileceini
savunuyor.
Yazarn nermesine katlmadan veya katlmadan nce, size unu soraym: Hedef durumundaki
"kontroller" terimleriyle yazarn ne demek istediini dnyorsunuz?
Target Corporation, Walmart'n ardndan Amerika Birleik Devletleri'ndeki en byk ikinci indirimli
maaza perakendecisidir ve S&P 500 Endeksinin bir bileenidir. Halk arasnda "Tar-jay" olarak da
bilinir.
stismar ve kaybedilen varlklar
27 Kasm 2014 ile 15 Aralk 2014 arasnda Target'n gvenlik a hedeflendi ve saldrganlar yaklak 2000
Target maazasndan alnan yaklak 70 milyon kredi kart verisini alabilirdi. 11 GB'n zerinde verinin
alnd tahmin ediliyor. Bu ihlal, sat noktas (POS) sistemlerindeki verilere eriilerek yapld. oklu saldr
vektrleri tasarland ve retildi. Satclar kimlik av saldrsna urad. A ayrm yoktu, sat noktas sistemleri
bellek kazyan kt amal yazlmlara kar savunmaszd ve Target tarafndan kullanlan alglama stratejileri
baarsz oldu.
Yeterli kontrollerin alnmamas
zleme yazlm (FireEye) izinsiz girii tespit edebildi ve ardndan Hindistan, Bangalore'deki personeli
uyard. Bangalore ofisi de Minneapolis'teki Target muadillerini uyard, ancak sorunu hafifletmek iin
herhangi bir ilem yaplmad. Hedef, ancak Adalet Bakanl onlarla temasa getiinde harekete geti.
Gvenlik a byle kullanld
Saldrganlar, gvenlik yamalarn ve sistem gncellemelerini datmak iin Target ve platform (Microsoft
sanallatrma yazlm), merkezi ad zmlemesi ve Microsoft System Center Configuration Manager
(SCCM) hakknda iyi miktarda aratrma yapt. Target'n HVAC satclarnn bir listesini karabildiler.
Satc soutma satclarndan biri olan Fazio Mechanical, bir Kt Amal Yazlm (Citadel parola alan bir
bot program) yklemek iin e-posta yoluyla dolandrld. Kt amal yazlm satcnn kimlik bilgilerini ald ve
saldrganlar Target'n satc portalna eriebilir. Saldrganlar daha sonra yanl yaplandrlm sistemlerde
gvenlik a bulabilir ve bylece aa szabilir. Kantlanmam kaynaklar, Fazio'nun kurumsal srm yerine
Malwarebytes kt amal yazlmdan koruma yazlmnn cretsiz srmn kullandn iddia etti. cretsiz srm, istee
bal bir tarayc olduu iin gerek zamanl koruma salamad.
Saldrganlar aa szdktan sonra, kt amal yazlm ("Kaptoxa") POS sistemlerine byk olaslkla otomatik
bir gncelleme ilemi araclyla yklemeyi baardlar.
Daha sonra kt amal yazlm, kaydrldnda 2000 POS'a yaylm POS sistemlerinden tm kredi kart
ayrntlarn alabilir. Veriler bir .dll dosyasna kaydedildi ve 139, 443 veya 80 numaral balant noktalar
zerinden geici bir NetBios paylamnda sakland.
Kredi kartlar alnd ve karaborsada veya karanlk ada satld.
Mali Kayp
Target'n veri ihlali ona dorudan 252 milyon dolara mal oldu. Bu maliyetin 90 milyon dolar sigorta
tarafndan karland. Ayrca, 31 Ocak'ta sona eren 2014'n drdnc eyrei iin ihlalle ilgili net giderler iin 4
milyon dolar harcamak zorunda kald. O mali ylda, Target, ihlalle ilgili 191 milyon dolarlk net
harcama yapmak zorunda kald ve bunun 46 milyon dolar geri dendi. sigorta kapsamndadr. Drdnc
eyrek iin Target, nc eyrekteki 352 milyon dolarlk kara kyasla 2,6 milyar dolarlk net zarar bildirdi.
tibar Kayb
2. Bu durumda, irketin YouGov'daki "Buzz puan", Target'n ihlali duyurmasnn ertesi gn 20 Aralk
2013'te 35 puan derek -9'a dt. 23 Aralk Pazartesi gn -19'a daha da dt. ABD tarihindeki trnn en byk
ikinci olay olarak nitelendiren adalet bakanl.
Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller7
Tehdit modelleme ve risk ynetiminin tamam bu makalenin kapsam dndadr, ancak zorunlu
uyumluluk ynergelerine gvenmenin Target' muazzam veri kaybndan korumak iin yeterli olmadn
anlamak nemlidir. Tehdit Modelleme: Gvenlik iin Tasarm Adam Shostack (Shostack, 2014)
tarafndan bu konu derinlemesine ele alnmaktadr. Sat Noktasnn Korsanl: Slava Gomzin tarafndan
yazlan deme Uygulamas Srlar, Tehditler ve zmler (Gomzin, 2014), POS sistemleri iin belirli gvenlik
aklar sunar. irketler ayrca ISO 27001/27002/27005 veya NIST 800-30/800-53 (J. Popp, kiisel
grme, 2014) gibi ortak risk erevelerini kullanabilir.
letmelerin ii, riskleri ve olas kayplar anlayan yeterli sayda gvenlik uzman altrmas gerekir. Gvenlik
personelinin, ortaya ktklarnda yeni potansiyel tehditleri ve gvenlik aklarn anlamak iin tetikte olmas
gerekir. Yeni saldrlar, dahili sistem gnlklerinde grnebilir veya sektrde gvenlik aklar veya gvenlik
olaylar veya olaylar olarak bildirilebilir. Kurulular, Gelimi Kalc Tehditlerin (APT'ler) kendilerini hedef
aldn ve saldrlarn doasn anlamaldr (Ferraro, 2013).
2.2. Derinlemesine Savunma
"Bir gvenlik sistemi ancak en zayf halkas kadar gldr" (Ferguson, Schneieir ve Tadayoshi, 2010).
Mlknzn nne byk, gl bir kap kurarsanz, ancak arka itte bir hrszn girebilecei kadar byk bir delik varsa,
kap kolayca baypas edilebilir. Arka itteki delii izlemek iin kameralar kurmak, ancak kameralar 7 gn
24 saat izleyecek birini tutmamak hrszl nlemeyecek ve kameralar etkisiz hale getirecektir. Son
zamanlardaki ihlaller, inat dmanlarn verileri almak iin eriim sistemlerine ulamak iin srekli olarak en
zayf halkay aradklarn gstermektedir. Derinlemesine Savunma, Ulusal Gvenlik Tekilat (NSA)
tarafndan oluturulan gvenlik iin katmanl bir yaklamdr. Tek bir koruma baarsz olabilir, bu nedenle i
varlklarn korumak iin ok sayda koruma ve kontrol kullanlr (SANS Enstits, 2014a, s. 6).
Son zamanlarda byk ihlaller yaayan birok iletme, ifreleme stratejileri kullanr. Ne yazk ki, ifreleme
genellikle dzgn bir ekilde uygulanmaz ve datlmaz. ifreleme kendi bana sistemleri korumaz.
ifrelemenin etkili olabilmesi iin tm sistemleri kapsaml bir ekilde koruyan salam bir gvenlik stratejisi
gereklidir. rnein, bir ifreleme algoritmas ve byk bir anahtar, eer
Teri Radichel, teri@radicalsoftware.com
Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller8
verilerle birlikte saklanan ifreleme anahtarna sahip olun. Bilgisayar korsanlar veya kt niyetli kiiler,
sisteme kolayca eriecek ve verilerin ifresini zmek iin anahtar kullanacaklardr (Ferguson, Schneieir,
& Tadayoshi, 2010, s. 12). ifrelemenin etkili olabilmesi iin, anahtar da koruduunuz ve ilenmek zere
verilerin ifrelenmemi olmas gereken sistemlere eriimi koruduunuz derinlemesine bir savunma
stratejisi uygulamanz gerekir.
Target'n gvenlik teknolojisine ok para harcad bildirildi (Capacio, 2014). Sistemler ifreleme kullansa
da, verilere ifrelenmemi bellekten eriildii iin ifreleme ie yaramaz hale getirildi. Belli bir dzeyde
ayrma olmas muhtemel olsa da, gvenlik a bulunan yaplandrma ve hesaplar, ayrma stratejilerinin
atlanmasna izin verdi. Pahal izleme yazlmlar almalarna ramen, personel yeterli deildi, iyi eitimli
deildi veya yetersiz sreler, Target'in bilgilendirildii ancak ihlali durdurmak iin hibir ey yapmad
belirlendiinde, bu sistemleri bir varlk yerine bir ykmllk haline getirdi.
3. Derinlemesine Savunma, gvenlik katmanlar gerektirir, ancak her katmandaki en zayf halka bir
sonrakine eriim salayabilir. Grne gre Target tarafndan kullanlan her bir savunma katmannda,
saldrganlarn en hassas verilerinin bir ksmna erimesine izin veren gvenlik aklar vard.
2.3. Kritik Kontroller
2008'de federal hkmet, dier eitli siber gvenlik listelerine ve ynergelerine dayal olarak bir Kritik
Kontroller listesi hazrlamak iin kamu ve zel kurululardan oluan bir konsorsiyum ayarlad. Kritik
Kontroller, bilinen saldrlarn etkili bir ekilde nlenmesine ve tespit edilmesine yardmc olduklar iin
listeye eklenmitir (SANS Enstits, 2014d). Siber Gvenlik Eylemi Konsorsiyumu (CCA), Kritik
Kontrolleri dzenli olarak gnceller (Dell Secure Works, 2014). Aadaki tabloda 20 Kritik Kontrol
listelenmektedir. Sans Enstits web sitesi, http://www.sans.org/critical-security-controls (SANS
Enstits, 2014c) adresinde her kontrol hakknda daha fazla ayrnt salar.
20 Kritik Kontrol
1: Yetkili ve Yetkisiz Cihazlarn Envanteri
2: Yetkili ve Yetkisiz Yazlmlarn Envanteri
3: Mobil Cihazlarda, Dizst Bilgisayarlarda Donanm ve Yazlm iin Gvenli Yaplandrmalar,
Teri Radichel, teri@radicalsoftware.com
Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller9
stasyonlar ve Sunucular
4: Srekli Gvenlik A Deerlendirmesi ve Dzeltme
5: Kt Amal Yazlm Savunmalar
6: Uygulama Yazlm Gvenlii
7: Kablosuz Eriim Kontrol
8: Veri Kurtarma Yetenei
9: Boluklar Doldurmak in Gvenlik Becerileri Deerlendirmesi ve Uygun Eitim
10: Gvenlik Duvarlar, Ynlendiriciler ve Anahtarlar gibi A Cihazlar iin Gvenli Yaplandrmalar
11: A Balant Noktalarnn, Protokollerin ve Hizmetlerin Snrlandrlmas ve Kontrol
12: dari Ayrcalklarn Kontroll Kullanm
13: Snr Savunmas
14: Denetim Gnlklerinin Bakm, zlenmesi ve Analizi
15: Bilme htiyacna Dayal Kontroll Eriim
16: Hesap zleme ve Kontrol
17: Veri Koruma
18: Olay Mdahalesi ve Ynetimi
19: Gvenli A Mhendislii
20: Szma Testleri ve Krmz Takm Egzersizleri
ekil 2 20 Kritik Kontrol (SANS Institute 2014c)
3. Hedef Duruma Uygulanan Gvenlik Stratejisi
3.1. Hedef ve POS sistemleri ile ilgili olarak Risk Ynetimi
Gvenlie ynelik risk temelli bir yaklam, irket iindeki tm sistemlerin tehditlerini ve gvenlik aklarn dzenli
olarak analiz etmeyi ierirdi. Daha sonra, bu ihlalde sistemlere saldrmak iin kullanlan baz gvenlik
aklarnn nlenebilmesi iin riskler nceliklendirilirdi. Veri merkezleri ve alardaki sistemler iin oluturulan
tehdit modelleri, POS sistemlerine ulamak iin pivot noktalar olarak kullanlan saldrlar ortaya karm
4. olabilir. Sistemleri gvenlik aklar asndan analiz etmek, saldrganlarn sisteme eriim elde etmek iin
kullandklar baz kusurlar muhtemelen ortaya karrd. ifreli ve ifresiz olarak sistemden akan verilerin
anlalmas, verilerin kt amal yazlmlar tarafndan eriilebilecei bellekte ifrelenmemi olarak bulunduunu
ortaya karabilirdi. En kritik varlklarn belirlenmesi, bu sistemler iin ek gnlk kayd, izleme ve gnlk
analizine yol am olabilir. Yalnzca en deerli verilere sahip olanlar iin deil, tm sistemler iin tehdit ve
gvenlik aklarnn analizi, riski azaltmak iin gvenlik abalarna ncelik vermek iin kullanlabilirdi.
Teri Radichel, teri@radicalsoftware.com
Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller10
Hedef hlaliyle ilgili soru sorulduunda Jason Popp, POS sistemi en deerli sistemlerden biri olsa da,
internete bakan satc sisteminin risk dzeyi daha yksekti. nternete bakan ortamdaki ek kontroller
saldry engellemi olabilir. Ayrca, Microsoft web sitesindeki Target vaka almasnn, POS istismar iin
tam olarak hangi balant noktalarnn ak olduunu ve hangi aralarn mevcut olduunu gsterdiini belirtti
(J. Popp, kiisel iletiim, 2014).
3.2. Derinlemesine Savunma bu durumda bir strateji olarak uyguland
Target altyapsnda birok gvenlik nlemi yrrlkte olmasna ramen, ek koruma katmanlar saldry yol
boyunca eitli noktalarda durdurabilirdi. Daha gl bir Derinlemesine Savunma stratejisi uygulamak,
her seviyeye bir sonrakinden eriilemez olmasn salard. POS sisteminin kendisindeki ek
savunmalar, verileri daha fazla koruyabilirdi.
ifreleme kullanlmasna ramen kart bilgileri POS sistemlerinde baz noktalarda hafzada bulunuyordu.
Bu kart verilerine eriilebilirdi nk bilgisayar korsanlar, POS makinelerine erimek iin dier savunmasz
sistemler araclyla aa szabildiler. A kontrolleri ve dier sistem kontrolleri POS makinelerine eriimi
tamamen engellemi olsayd, kart verilerine eriilemezdi.
Uygulama beyaz listesi, yalnzca yetkili yazlmlarn POS sisteminde almasna izin verirdi. Byk bir
perakendecinin Gvenlik Mimarisi Grup Mdr olan Jason Popp, POS sisteminden ve yazlm ynetim
aralarndan ayr bir srecin beyaz listeyi ynetebileceini ne sryor (J. Popp, kiisel iletiim, 2014).
Uygulama beyaz listesi, donanm veya yazlm araclyla yaplabilir. Thales eSecurity'de Gelitirme ve
Teknik Ortaklklar Direktr Jose Diaz, ifreleme anahtarlarn koruyan bir HSM (donanm gvenlik modl)
ile kod imzalamann nasl alacan aklyor: "POS sisteminde alan kod veya uygulama, dijital imzalar
kullanabilirdi. cihazlara yalnzca reticiden gelen meru kodun yklenebilmesini salamak iin bir
Donanm Gvenlik Modlnde (HSM) korunan imzalama anahtar (J. Diaz, kiisel grme, 2014).
ifrelemenin kendisine gelince, kart POS iletim sistemi belleini korumak iin ek koruma katmanlar
eklenebilirdi. Kurcalamaya dayankl bir gvenlik modl
Teri Radichel, teri@radicalsoftware.com
Vaka almas: Hedef hlalini nleyebilecek Kritik Kontroller11
(TRSM) verileri yazlmda deil, donanmda ifreler. Baz POS modelleri, kaydrma noktasnda verileri
ifrelemek iin bir TRSM kullanr (Horton & McMillon, 2011). Kart verileri dorudan ifrelendii TRSM'ye
gider. Kt amal yazlm POS iletim sistemine girmi olsa bile ifrelenmi verileri okuyor olacakt. Thales
eSecurity'den Jeremy Eisenman, "Gvenli pin giri cihazlar yaklak 40 yldr kullanlmaktadr.
PINBLOCKS'u emniyete almayla ilgili gereksinimler katdr. Manyetik erit izleme verileri, ayn
PED'de kaydrlmasna ramen ayn gvenlik kontrolleriyle ilenmedi (J. Eisenman, kiisel grme, 2014).
20 Kritik Kontrol
1: Yetkili ve Yetkisiz Cihazlarn Envanteri
5. 2: Yetkili ve Yetkisiz Yazlmlarn Envanteri
3: Mobil Cihazlarda, Dizst Bilgisayarlarda Donanm ve Yazlm iin Gvenli Yaplandrmalar,