2. BUGÜN NE KONUŞACAĞIZ?
1. BÖLÜM
• Hakkım(ız)da
• Temel Kavramlar, Genel
İstatistikler
• Geçmişten Günümüze
Örnek Vakalar (2016-2017)
• Güncel Saldırı Yöntemleri,
Atakların Anatomisi
• Bireysel, Kurumsal ve Ulusal
Önlemler
2. BÖLÜM
• Yazılım Geliştirme'de Güvenlik
Bakış Açısı
• Güvenli Yazılım Geliştirme
Metodolojileri
• Güvenlik Sıkılaştırma Adımları
• Kitap, Blog, Hesap ve Film
Önerileri
3. HAKKIM(IZ)DA
• Tarık Kobalas (@tkobalas)
• İTÜ Bilgisayar Mühendisi 2008
• CRYPTTECH CTO
• Java/.NET Geliştirdi Huawei/Turkcell
• Güvenlik Yazılım Mimarlığı ve SIEM, DLP, Zafiyet Ürün Yöneticiliği
• CT-Zer0 Güvenlik Takımı
• CRYPTOSIM, UNITMON, CRYPTOLOG, CRYPTOSPOT, WIROFY
• Yönetilebilir Güvenlik Servisleri
• Kriptoloji, Blok Zinciri, Büyük Veri, Dağıtık Mimari
• 1000+ Kurumsal Müşteri, 3000+ Markalaşma Ürünü
• 50+ Çalışan (35 Mühendis)
• İstanbul, Ankara, Amerika (Co-Work), Dubai (Co-Work)
4. SİBER GÜVENLİKTEN ÖNCE BİLGİ GÜVENLİĞİ
• Bilgi Güvenliği’nde esas olan
• Gizlilik
• Bütünlük
• Erişilebilirlik
• Bilgi ifşa edilebilir.
• Bilgi içeriği bozulabilir, değiştirilebilir.
• Bilgiye erişim kısıtlanabilir, engellenebilir.
• Bilgi Güvenliği > Siber Güvenlik
5. SİBER GÜVENLİK İSTATİSTİKLERİ
• 2016’da siber suçların global ekonomiye maliyeyi 450B$, 2020’de 2T$
olması öngörülüyor.
• 2017’deki veri sızıntılarının ortalama global maliyeti, 2016’ya göre 3,62M$
daha az
• Hergün ortalama 400 firmaya gönderilen mail dolandırıcılığı geçtiğimiz üç
senede 3B$ kayba yol açtı.
• Mevcut web sitelerinin %75’i yamanmamış açıklık barındırıyor.
• Güvenlik alarmlarının %44’ü çalışanlar tarafından göz ardı ediliyor.
• Finans sektöründe siber saldırıların %58’i, sağlık sektöründe %71’i içerden
yapılıyor.
• İşletmelerin %88’i yıl içerisinde bir siber saldırıya maruz kalacağını düşünüyor.
• Siber güvenlik alanında işsizlik oranı %0.
* https://blog.capterra.com/12-shocking-cyber-security-stats/
7. ATAK DÖNGÜSÜ
SALDIRI BULAŞMA KEŞİF ÖNLEME
DK / SAATLER HAFTALAR AYLAR
ORTALAMA ÇÖZME SÜRESİ
32 GÜN
ORTALAMA GÜN BAŞI MALİYET
$32,5
8. GÜVENLİK ÖNEMLİDİR!
90% 74% 50%
2016’da büyük işletmelerin
%90’ında güvenlik ihlali
bulunuyor (2015’e göre %81
artış)
2016’da küçük işletmelerin
%74’ünde güvenlik ihlali
tespit edildi (2015’e göre
%60 artış)
Güvenlik ihlallerinin %50’si
insan hatası faktörü
European Commission Press release, Brussels, 15 December 2016: ‘Agreement on
Commission’s EU data protection reform will boost Digital Single Market’
Dept for Business Innovation & Skills: 2016 Information Security Breaches Survey –
PWC
http://www.telegraph.co.uk/sponsored/business/british-standards-
institution/12012517/top-10-cyber-security-must-dos.html
15. FARKLI BİR KANDIRMA YÖNTEMİ
• İsim benzer alanadları ve benzer sayfa tasarımları
• İstihbarat yoluyla toplanan adresler. (Maşa)
• https://openphish.com/feed.txt
• İnsanı kandırmak için farklı bir yöntem (Dell Monitor)
• Videoyu izleyelim.
16. DÜNYANIN YENİ PROBLEMİ: MELTDOWN ve SPECTRE
• 03 Ocak 2018
• 1995’ten günümüze kadar kullanılan modern işlemciler dahil INTEL, ARM,
AMD etki altında, milyarlarca cihaz
• Meltdown (CVE-2017-5754) Kernel Memory Access ve Spectre (CVE-2017-
5753 & CVE-2017-5715) Application Memory Access
• İşemci Performansını atırmak için optimazyon yan etkisi
• 4 Ocak 2018 Windows 10 için yama yayımlandı
• AMD için yayımlanan yama geri çekildi
• İşlemci tasarımları baştan değiştirecek
• Güncellemeler %30 Performans problemleri doğuruyor
17. 2016 - 2017 SİBER GÜVENLİK VAKALARI
• MIRAI, DYN DNS DDOS
• SHADOW BROKERS
• WANNA CRY
• PETYA / NOTPETYA / NYETYA / GOLDENEYE
• WIKILEAKS CIA VAULT 7
• CLOUDBLEED
• 198 MILLION VOTER RECORDS EXPOSED
• EQUIFAX DATA BREACHE – 145M ACCOUNTS
• UBER DATA BREACHE – 57M RECORDS
• MACRON CAMPAIGN HACK
• KRACK ATTACK
18. SHADOW BROKERS
• 2016 Ağustos’ta NSA ile bağlantılı ekip Equation Grup’un kullandığını
iddia ettiği ajanlık araçlarını sızdırdı
• Araçlar içinde ciddi zafiyetleri sömüren kodlar vardı
• Ortadoğu Bankalarına yapılan saldırılarına izleri bulunuyordu
• İçlerinde daha sonra Siber Silah’a dönüşen Eternel Blue araçı da
bulunuyordu
19. ETERNAL BLUE
• Nisan 2017’de dünyaya
duyuruldu
• SMB (Server Message Block)
V1
• Port 445/139
• Mart 14 MS17-010
• Desteği biten XP için bile
güncelleme
20. WANNACRY ve FİDYE YAZILIMLAR
• Eternal Blue Kullanımı
• Mayıs 2017
• 230.000 etkilenen bilgisayar
• Paylaşım üzerinden bütün
network alanlarına erişim
• Dosyaların şifrelenmesi
• Dosya yedeklerinin silinmesi
• Şifrelerin çözülmesi için Bitcoin
talep edilmesi
• Ticari
21. PETYA/NOTPETYA
• Savaş aracına dönüştü
• Daha çok Ukrayna odaklı
• MBR (Master Boot
Record)Şifreleme
• 30dk içinde baştan başlatma
• Tüm dosyaları şifreleme
• Windows odaklı
• Tüm ülke etkilendi
23. CVE-2017-5638 APACHE STRUTS RCE
• 8 Mart 2017, Seviye 10
• The Jakarta Multipart Parser Apache Struts
• Versiyonlar 2 2.3.x - 2.3.32 ve 2.5.x - 2.5.10.1
• Dosya yükleme sırasında yanlış istisna yönetimi ve hata
mesajları
• Saldırgana uzaktan kod çalıştırma esnekliği sağlar
• HTTP başlıklarında Content-Type, Content-Disposition,
Content-Length kontrol eksikliği
• Content-Type içeren #cmd= string çalıştırılabilir
27. KRACK WPA2 (Key Reinstallation Attack)
• MiTM (Man-in-the-middle) Saldırısı, Mac Spoofing ile başlar
• 4 Adımlı El Sıkışma
• Aynı MAC ve PassKey ile farklı kanalda Aynı isimde farklı bir
SSID yayını ve aynı şifreleme anahtarını tekrar yükleme
• Şifreli trafiğin dinlenebilmesi ve hassas bilginin toplanması
• Bütün modern kablosuz cihazları etkiliyor
• 100’den fazla marka, milyarlarca cihaz
• Android, Linux, Apple, Windows, OpenBSD işletim sistemleri
• Etkisi 50-100 sene
• 10 CVE (CVE-2017-13077, 9 istemci, 1 altyapı)
28. VE MIRAI KODU YAYILIR
https://github.com/jgamblin/Mirai-Source-
Code/blob/6a5941be681b839eeff8ece1de8b245b
cd5ffb02/mirai/bot/scanner.c
30. SALDIRILAR ÇOK DAHA UCUZ ve KOLAY
https://ragebooter.net
beginner-300 sec, 1 attack, 5-10 gbps, 7 dolar
3600 second attacks, 2 attacks, 10+ Gbps attacks, 30 dolar
https://ddos.city
basic-125 gbps total, 300 sec, 5 euro
Bronze-125 gbps total, 600 sec, Business euro
Green-125 gbps total, 1800 sec, 60 euro
Business-125 gbps total, 3600 sec, 90 euro
http://networkstresser.com
bronze-600 sec,70 gbps 15 dolar
Platinum-7200 sec, 121 dolar
Lifetime-600 sec, 49 dolar
https://str3ssed.me
bronze-250 gbps-300 sec, 10 dolar
Gold-250 gbps-1200 sec, 20 dolar
Ultimate-250 gbps-3600 sec, 55 dolar
https://www.critical-boot.com
basic-600 sec,15 dolar
Advanced-3600 sec, 32 dolar
Pro-6000, 42 dolar
http://zstress.net
silver-120 sec, 15-20 gbps, 15 dolar
Nova-2700 sec, 15-20 gbps, 30 dolar
Master-3600 sec, 15-20 gbps, 50 dolar
https://netstress.org/
gold-1800 sec, 20 dolar
Super-3600 sec, 35 dolar
AT SEPETE DDOS
ÖDEMELER: CRYPTOCOIN, PAYPAL, DİJİTAL
CÜZDANLAR
31. ARTIK SALDIRILAR ÇOK DAHA TEHLİKELİ
When
Organization(s)
Under Attack
Virus Name Virus Functionality Physical Impact
2009
Exxon, Shell, BP,
among others
Night Dragon
Remote Access Trojans (RATs) distributed using spearphishing. (Source) None.
Motive : Data stealing/spying, Propagation
(Although, it is reported
that attackers exfiltrated
operational blueprints for
SCADA systems and even
collected data from them.)
2010
Iran's Natanz
nuclear facility
Stuxnet
Intercepts and makes changes to data read from and writen to a PLC.
(Source) Destroyed a fifth of Iran's
nuclear centrifuges.Motive : Destruction
2014 No reported cases Havex
Distributed as Trojanized ICS/SCADA software downloads from
compromised vendor websites, it scans the LAN for OPC servers and
sends collected data to a Command and Control (C&C) server. (Source) None
Motive : Data stealing/Spying
2017 Ukraine Petya
The ransomware hit Ukrainian infrastructure particularly hard,
disrupting utilities like power companies, airports, public transit, and
the central bank, just the latest in a series of cyber assaults against the
country
Day life
Finance, Power
32. SALDIRILAR EKONOMİK AÇIDAN DAHA DA ZARARLI
• 2013 yılında başlıyor
• MS-Word ile C&C
• ATM para çıkışları
• SWIFT emirleri
• ~ 100 Banka
• ~ 30 ülke
• 1 milyar dolarlık yeni
nesil banka soygunu
33. BITCOIN VAKALARI
• Temelinde Güvenlik ve Şifreleme
• En büyük ticari kayıp örnekleri
• Japon menşei borsa Mt.Gox, 2011’de 2609 BTC ve 2013’te 750.000+ BTC
transferi. O zamanki değeri 350M$+, Şu anki değeri 11B$+
• Bit Floor, 2012, 24.000 BTC (Kapatıldı)
• Poloniex, 2014, 97 BTC (Devam Ediyor)
• Bitstamp, 2015, 19.000 BTC (Devam Ediyor)
• BitFinex, 2016, 120.000 BTC (72M$)
34. İLK CİDDİ OTOMOBİL MAKALESİ
• Jeep Fren, Aydınlatma, İvmelenme sistemleri Wifi,Hücresel üzerinden kırıldı
• Tesla S ve Tesla X Wifi Sistemi üzerinden hacklendi
• https://twitter.com/keen_lab
• Volkswagen araç kilit sistemi şifrelemesi kopyalanabildi. 100M+ araç
• DEFCON – Car Hacking Village
• Videoyu izleyelim.
• 1989’dan beri kullanılan standart -> Controller Area Network
• Kritik seviyede ilk CAN CVE Alert (ICS-ALERT-17-209-01)
35. ICS ALERT - ÇÖZÜM ÖNERİSİ
• Malesef Sadece Fiziksel Koruma
• Peki Otonom Araçlar?
39. BİREYSEL ÖNLEMLER
• Sürekli Şüphe
• İnternet, Akıllı Telefon, Televizyon Kullanma; Metroya Binme
• Karmaşık Parolalar, 2FA
• HTTPS Kontrolü
• Sanal Kart Kullanımı
• Sosyal Medya Paylaşımlarına Dikkat
• Güncel Versiyon Kullanımı
• Evdeki Modem, Televizyon Güncelleme. Öntanımlı kullanıcıları kaldırma
41. KURUMSAL ÖNLEMLER - SÜREÇLER
• Sürekli Şüphe
• Bilgi Güvenliği Politikalarının oluşturulması ve duyurulması
• Risklerin belirlenmesi
• Yetkilerin ayrılığı
• Fiziksel ve Çevre Güvenlik
• Çalışan Farkındalık Eğitimleri (Teşvik, Havuç, Promosyon)
• Standart Uyumluluklar (ISO 27001, PCI-DSS, FISMA ...)
42. KURUMSAL ÖNLEMLER - ARAÇLAR
• Uç nokta güvenliği
• Ağ/Sunucu tabanlı
anormallik tespiti
• Saldırı tespit/önleme
sistemi
• Güvenlik duvarı
• Zafiyet tarama araçları
• Kalıcı ileri seviye tehdit
önleme
• Siber istihbarat servisi
• Veri sınıflandırma
• Uygulama güvenliği
• Antivirus/Antispam
• Zararlı yazılım analizi
• Statik kod analizi
• Veritabanı güvenliği
• Mobil güvenlik
• Derin paket inceleme
• Ağ trafik analizi
• Bilgi güvenliği ve olay
yönetimi
• Şifreleme (Disk, iletişim,
veri) sistemleri
• Yetki/Kimlik yönetimi
• Bulut güvenliği
• İki faktörlü doğrulama
• DDOS Önleme
43. KURUMSAL ÖNLEMLER
• Salıdırı öncesi gerekli süreç ve araçlar
• Saldırı sırası önleyici sistemlerde kapasite artırımı
• SOME ekiplerinin kurulması
• Saldırı sırasırsa gerekirse servis vermemek
• Video’yu İzleyelim
• Saldırı sonrasın detaylı analiz ve önleyici faaliyetler
45. ULUSAL ÖNLEMLER
2016-2019 Ulusal Siber Güvenlik Stratejisi (18 Madde)
1. Ulusal kritik altyapıların güvenlik gereksinimlerinin karşılanması
(Elektrik/Enerji, Su Şebekeleri, Sinyal, Ulaşım Sistemleri)
2. Uluslararası standartlara uygun mevzuatın oluşturulması.
3. Siber güvenlik farkındalıklarının ve yetkinliklerinin geliştirilmesi.
4. Sadece saldırılardan değil, kullanıcı hataları ve afetlerden de korunması için
düzenlemelerin yapılması.
5. Her kurumun kendi bilgi güvenliği yönetim sürecini çalıştıracak yetkinliğe
ulaşması.
7. Siber güvenlik alanında yetkin personel
46. ULUSAL ÖNLEMLER
10. Kurumsal ve Sektörel SOME’lerin (Siber Olaylara Müdahale Ekibi)
etkinliğinin arttırılması ve bilgi paylaşımının geliştirilmesi.
11. Siber güvenlik alanında koordinasyonu sağlayacak güçlü bir merkezi kamu
otoritesi oluşturulması. (USOM)
14. Ürünlerinin içerdiği açıklıkların kötüye kullanılmasına engel olmak üzere
açıklık analizi ve sertifikasyon çalışmalarının yapılması.
15. Güvenli yazılım geliştirme ve tedarik yönetimi kültürünün oluşturulması.
16. Siber güvenlikte yerli ürünlerin geliştirilmesi. Millileşme
17. Tehdit unsurlarının saldırı yapmadan önce bertaraf edilmesi için ulusal
proaktif siber savunma yeteneğinin geliştirilmesi. Siber Ordu
47. ULUSAL ÖNLEMLER
• 5651: İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar
Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 5070: Elektronik İmza Kanunu
• 6563: Elektronik Ticaretin Düzenlenmesi
• 6698: Kişisel Verilerin Korunması Kanunu
• Millileşme
50. KVKK KÜNYESİ
07/04/2016 tarihinde 29677 sayılı Resmi
Gazete ’de yayınlanarak kanunlaştı
24/03/2016 tarihinde 6698
sayılı kanun TBMM’de kabul edildi.
17/02/2016 tarihinde Uygun bulunma kanunu
Resmi Gazete ’de yayınlanarak 108 sayılı sözleşme
iç hukukumuzda kabul görmüştür
28/01/1981 yılında 108 sayılı «Kişisel Verilerin
Otomatik İşleme Tabi Tutulması Karşısında
Bireylerin Korunması Sözleşmesi» Türkiye’nin de
dahil olduğu Avrupa Konseyi üye ülkeleri
tarafından imzalandı.
50
52. VERİ NE YAPILMALI
Yapılandırılmış ve
Yapılandırılmamış
Verilerin Belirlenmei
Data Classification
Veri Sahibine Bilgi Verme
Yükümlülüğü
Custom Software
Veriye Erişecek Kişileri
Yetkilendirme, Veri
Sınırlaması Getirme
PAM
Session Recording
Data Masking
Veriyi Koruma, Silme ve
Anonimleştirme
DLP
Encryption
TDE (Transparent Data Enc.)
Data Destruction
Degauss (Hardware)
Paper Shredder
Veriyi İzleme ve Takip Etme
Log Management
SIEM
Monitoring Tool
Teknik Çözüm
Önerisi
53. İNTERNETİN KARANLIK DÜNYASI
• Deep Web: indekslenemeyen web siteleri
• Dark Net: Şifreli, kapalı, anonim geniş alan ağı. TOR, FreeNet, i2P
• Dark Web: DarkNet üzerinde koşan web. Silkroad
• P2P, Friend-to-Friend bağlantılar