BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
BGA Siber Olaylara Müdehale Ekibi (SOME)
Danışmanlık & Eğitim Hizmteleri
Security Operation Center (SOC)
Açık Kaynak Kod Çözümleri
ISO 27001 Danışmanlık ve Eğitim Hizmetleri
Siber Tehdit İstihbarat - Normshield
Phising Simulator - Sinaralabs
Kablosuz ağların iş yerinde ve evde hayatımızı çok kolaylaştırdığını yıllardır görüyoruz. Bu kolaylık beraberinde güvenlik açısından bazı riskleri de getiriyor.
Evde, işyerinde ve kafelerde daha güvenli bir kablosuz bağlantı için ihtiyaç duyacağınız 9.5 öneri derledik ve kablosuz ağların kolaylığından güvenli bir şekilde faydalanabilmeniz için bu ipuçlarını sizinle paylaşıyoruz.
Kablosuz Ağ Güvenliği dosyasında bulabileceğiniz başlıklar şöyle:
- Güvenli bir ev kablosuz ağı için 9.5 ipucu
- Kafelerde ve dışarıda kablosuz ağlara bağlanırken dikkat edilmesi gerekenler
- İş yerinizde kablosuz ağ güvenliği
- Wi-Fi Konuşuyor
- Evde Olmadığınızı Görebiliyorum!
Seyahatte Veri Güvenliği Nasıl Sağlanır?
Güvenlik konusuna önem veren “seyahatseverler” için internette çok sayıda güvenlik ürünü mevcut, kısa bir araştırma ile bunlara ulaşmak ve satın almak mümkün. Hatta daha da ileri gidip sadece seyahatte kullanmak üzere bir laptop ve telefon da satın alabilirsiniz!
Masraflı yöntemler ve çokça para harcamak yerine kolay öneriler ile güvenliğinizi sağlayabileceğiniz bir tavsiye listesinin daha cazip olabileceğini düşündük...
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
BGA Siber Olaylara Müdehale Ekibi (SOME)
Danışmanlık & Eğitim Hizmteleri
Security Operation Center (SOC)
Açık Kaynak Kod Çözümleri
ISO 27001 Danışmanlık ve Eğitim Hizmetleri
Siber Tehdit İstihbarat - Normshield
Phising Simulator - Sinaralabs
Kablosuz ağların iş yerinde ve evde hayatımızı çok kolaylaştırdığını yıllardır görüyoruz. Bu kolaylık beraberinde güvenlik açısından bazı riskleri de getiriyor.
Evde, işyerinde ve kafelerde daha güvenli bir kablosuz bağlantı için ihtiyaç duyacağınız 9.5 öneri derledik ve kablosuz ağların kolaylığından güvenli bir şekilde faydalanabilmeniz için bu ipuçlarını sizinle paylaşıyoruz.
Kablosuz Ağ Güvenliği dosyasında bulabileceğiniz başlıklar şöyle:
- Güvenli bir ev kablosuz ağı için 9.5 ipucu
- Kafelerde ve dışarıda kablosuz ağlara bağlanırken dikkat edilmesi gerekenler
- İş yerinizde kablosuz ağ güvenliği
- Wi-Fi Konuşuyor
- Evde Olmadığınızı Görebiliyorum!
Seyahatte Veri Güvenliği Nasıl Sağlanır?
Güvenlik konusuna önem veren “seyahatseverler” için internette çok sayıda güvenlik ürünü mevcut, kısa bir araştırma ile bunlara ulaşmak ve satın almak mümkün. Hatta daha da ileri gidip sadece seyahatte kullanmak üzere bir laptop ve telefon da satın alabilirsiniz!
Masraflı yöntemler ve çokça para harcamak yerine kolay öneriler ile güvenliğinizi sağlayabileceğiniz bir tavsiye listesinin daha cazip olabileceğini düşündük...
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Gerçekleştirmesi planlanan sunumda web ve mobil bankacılık uygulamalarında sıklıkla karşılaşılan güvenlik açıklıklarından ve bu açıklıkların doğurduğu risklerden bahsedilecektir.
Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Stratejilerinin Oluşumu
Geçtiğimiz on yıl içerisinde siber güvenliğin hızlı bir şekilde ülkelerin milli güvenlik politikalarının önemli bir unsuru haline gelmiştir. 2003 yılında ABD ilk kez ulusal siber güvenlik stratejisini yayınlayan ülke olmuştur. 35 farklı ülke de ABD’yi izleyerek siber güvenlik strateji dökümanı hazırlamış ve yayınlamışlardır. Askeri siber operasyonlar, siber suçlarla mücadele, siber casusluk, kritik alt yapı güvenliği, siber diplomasi ve İnternet yönetişimi stratejik siber güvenliğin çeşitli alanları olarak değerlendirilmiştir. Hazırlanan sunumda Hollanda, İngiltere, ABD ve Türkiye’nin siber güvenlik stratejileri incelenerek, her bir ülkenin stratejisini hangi alan üzerine inşa ettiği incelenmiştir.
Mass surveillance, dinlenmeler, yasadışı yetkisiz erişimler gibi konularla çalkalandığımız bu dönemde mahremiyet ve güvenlik giderek insanların dikkat etmeye çalıştığı bir konu haline geldi. Bu sunumda, Internet ve sosyal medya'nın dogğurdugu mahremiyet ihlalleri ve özel olarak geliştirdiğimiz sosyal medya aracılığı ile istihbarat ve mahremiyet ihlali yöntemleri açıklanacaktır. Artık "geçen yaz ne yaptığınız"dan daha fazlasını, sabah ilk kahvenizi kiminle içtiğinizden, favori mekanlarınıza ve günlük rutinlerinize kadar tüm mahremiyetiniz ifşa oluyor.
Uluslararası siber savaşlarda kullanılacak en önemli bileşenlerden biri de son kullanıcıların internet bağlantıları için kullandıkları soho modemlerdir. Bu sistemler genellikle aynı özellikleri taşıdığından tespit edilecek bir açıklık tüm ülkeyi etkileyecektir. Sunum süresince böyle bir kitle saldırısının nasıl gerçekleştirileceği, ev kullanıcılarının modemlerini hedef alan bir ar-ge çalışmasının adımları ve sonuçları üzerinden ele alınacaktır. Çalışmanın içeriğindeki ana başlıklar, belli özelliklerdeki hedeflerin belirlenmesi, etkili bir zafiyetin bulunması, gömülü sistemler (MIPS) gibi farklı zorlukları olan platformlar için istismar kodunun yazılması, toplu istismarı gerçekleştirecek betiklerin yazılması, büyük ölçekli taramalar için performans optimizasyonlarının yapılması olarak sayılabilir.
Her ne kadar yazılımların saldırı vektörleri çok fazla olsa da aslında güvenli yazılım geliştirme adına yapılacak pratik çözümler ile çok sayıda uygulama güvenliği problemi ortadan kaldırılabilir. Bu sunum içeriği; güvenli yazılım geliştirme adına yapılması gereken en yaygın 10 pratik çözümü ve örneklerini içeriyor olacaktır.
2014 yılı sistem yöneticileri için kabus, hackerlar için rüya gibi bir yıldı. Geçtiğimiz yıl, Heartbleed, Shellshock, Sandworm, Schannel, POODLE, Drupal SQL enjeksiyonu gibi sıfır-gün ataklarının yanı sıra Dragonfly, Regin, Turla gibi devletlerin sponsor olduğu zararlı yazılım ataklarının adından söz ettirdiği ve Sony, HomeDepot ve Domino's Pizza gibi dev şirketlerin, hatta iCloud üzerinden ünlülerin hacklendiği bir yıl oldu.2014'te 15.000 civarında güvenlik açığı ortaya çıktı, fakat bunlardan sadece %5'inin sömürü kodu var. Peki, bu kadar az istismar kodu varken hackerlar nasıl bu kadar başarılı oluyor? IT departmanlarının korkulu rüyası herkese açık herkese açık istismar kodlarıyla yapılan saldırılar mı, sıfır-gün atakları mı, yoksa zararlı yazılım saldırıları mı? Bu saldırılardan nasıl korunabiliriz? Bütün bu soruların cevaplarını bu sunumda bulacaksınız.
-Siber güvenlik kavramları(siber savaş, siber silah, siber ordu, siber tehdit, vs)
-Türkiye’de siber güvenliğe verilen önem ve siber güvenlik yol haritası
-Türkiye ve dünyadan bilgi güvenliği ihlal olay örnekleri
-Bilgi güvenliği standartları ve kurumsal iş ortamlarında uygulanması
-SCADA sistemlerine yönelik siber tehditler ve korunma yolları
-Son kullanıcıya yönelik siber tehditler
-Mobil sistemlerde uygulama güvenliği ve getirdiği güvenlik zafiyetleri
-Güvenli internet ve siber güvenlik açısından önemi
-Saldırı tespit ve engelleme yöntemleri (IDS/IPS)
-DOS (Denial of Service) ve DDoS (Distributed Denial of Service) sistem yıkım saldırıları ve korunma yöntemleri
-Pentest (Sızma Testleri) ve önemi
-Web uygulama güvenliği
-Açık Kaynak Kodlu Güvenlik Çözümleri
-Uygulamalı Bilgi Güvenliği İhlal Örnekleri
Similar to Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri (20)
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri
1. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Huzeyfe
ÖNAL
Bilgi
Güvenliği
AKADEMİSİ
www.bga.com.tr
TwiZer:
@bgasecurity/@huzeyfeonal
SSL,
DPI
Kavramları
Eşliğinde
Internet
Trafiği
İzleme
ve
Karşı
Güvenlik
Önlemleri
2. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Huzeyfe
ÖNAL
• Bilgi
Güvenliği
Danışmanı
&
Ağ
Güvenliği
Araş<rmacısı
@BGA
• PenetraAon
Tester
• Eğitmen
– Bilgi
Güvenliği
AKADEMİSİ
– Linux
AKADEMİ
– Bilgi
/
Bahçeşehir
Üniversitesi
• Blogger
-‐
www.lifeoverip.net
3. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Amaç
• Siber
dünyanın
sadece
bir
eğlence
aracı
değil,
dünyanın
gidişa<nı
değişArecek,
yeni
bir
düzenin
kurulumundaki
önemli
oyunculardan
biri
olduğu
göstermek
ve
bu
kadar
önemli
bir
yapının
başıboş
bırakılamayacağının
örneklerle
anlaşılmasını
sağlamak.
• Internet
ortamında
yasal/yasadışı
izlemeler
nasıl
gerçekleşArilir,
nasıl
korunulur
hakkında
bilgi
vermek.
4. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Özlü
söz
• Önce
korunmak
için
teknoloji
üreArsiniz,
sonra
düşmanlarınız
o
teknolojiyi
size
karşı
kullanır,
ardından
gelişArdiğiniz
teknoloji
ile
savaşmak
zorunda
kalırsınız
(Anonim)…
6. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet
Nasıl
Çalışır?
Internet,
temeli
1970’li
yıllarda
a<lmış
askeri
bir
protokol
olan
TCP/
IP
üzerinde
çalışır.
7. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet’te
Güvenlik
/
Gizlilik
• Internet
ortamında
gizlilik
(ileAşim
için)
temelde
iki
şekilde
gerçekleşArilir:
• 1-‐)İleAşim
protokollerini
güvenli
–şifreli-‐
hale
geArerek
gizlilik.
• 2-‐)İleAşim
protokollerinden
bağımsız
olarak
sadece
içeriği
özel
araçlarla
–
her
iki
taraf
da
aynı
algoritma
kullanmalı-‐
şifreleyerek
gizleme
• İlk
yöntem
daha
sık
kullanılmakta,
ikinci
yöntem
daha
güvenli
kabul
edilmektedir.
• İlk
yöntem
merkezi
güven
ve
kontrol
sağladığı
için
daha
kolay,
ikinci
yöntem
daha
uğraş<rıcıdır.
• Güvenlik
sadece
gizlilik
demek
değildir
(note
for
geeks)
8. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet
Trafiğinde
Araya
Girme
• Pasif
araya
girme
(Yasal
süreçlerle
desteklenir)
• Hizmet
aldığınız
ISP/Telekom
firması
tarahndan
yapılır.
• Yerel
ağ,
Wifi
icin
MITM(arpspoof,
DHCP
spoofing)
Teknikleri
• Internet
üzerinde
yasal
olmayan
BGP
yönlendirmeleri
kullanarak.
• Bilgisayara
uzaktan
zararlı
yazılım
yükleyerek.
• DNS
sunucuları
zehirleyerek
/
ele
geçirerek
• TAP
cihazları
kullanarak
(pasif
,
monitor
amaçlı)
9. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet
İzleme
Sistemleri
• Amaç:
Kişilerin
internet
trafiğini
belirli
amaçlar
doğrultusunda
izlemek
ve
aksiyon
almak
• İzleme/Dinleme
(Sniffing)
sistemlerinin
işe
yaraması
için
akan
trafiğin
“clear
text”
olması
gerekir.
• Şifreli
trafik
izlenebilir
fakat
anlamlı
bir
bilgi
edinilemez.
• Genellikle
“suyun
başına”
kurulur
ve
pasif
çalışırlar.
10. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Yasal
İzleme/Lawful
IntercepAon
• Kanunlar
çerçevesinde
yapılan
izleme
• Genellikle
ISP
seviyesi
izleme
gerçekleşArilir.
• Bu
Ap
izlemelerde
“akAf
işlem”
durumu
yoksa
internet
trafiği
takip
al<na
alınan
kişinin
durumu
anlaması
imkansızdır
(TAP
sistemler
üzerinden
pasif
dinleme)
• 5651
sayılı
kanun
gereksinimleri
– Son
kullanıcıyı
ilgilendiren
kısımlar
– URL
engelleme,
DPI
işlemleri
v.s
11. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Yasal
Olmayan(Yarı
Yasal)
İzleme
12. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Yasal
Olmayan
AkAf
İzleme
-‐Örnek
Tunus
Gmail
Örneği
17. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Data
Carving…
• Ham
veriden
orijinal
veri
elde
etme
yöntemi
1010101
1010101
0101010
1010101
0101010
101
Sniffer
Data
Carving
18. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Network
Data
Carving
• Sniffer
kullanarak
kaydedilmiş
ikili(binary)
dosyalardan(.pcap
forma<nda
veya
farklı
formatlarda)
orjinal
veri
elde
etmek
• Akan
ağ
trafiği
üzerinde
belirli
şartlara
göre
izleme
yapma
– Echelon
man<ğı
– Günümüzdeki
DLP
sistemlerinin
atası
sayılabilir
• Iki
uç
haberleşirken
aradaki
dinleme
sistemleri
iki
uç
ne
görüyorsa
aynısını
görebilir,
dinleyebilir,
kaydedebilir.
• Network
forensic
çalışmalarının
temelini
oluşturur
19. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Örnek
Uygulama:Eeye
Iris
19
20. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Trafik
İçinde
Veri
Arama
• Uygulama.
21. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
DPI
Panzehiri(!)
Şifreleme
(SSL/TLS)
• DPI
benzeri
ağ
tabanlı
izleme/analiz
sistemlerinin
başarılı
olarak
sonuç
verebilmesi
için
trafiğin
“açık
–
okunabilir”
olması
gerekir.
• Şifreli
trafikte
paketlerin
sadece
header
(başlık)
kısmı
açık
olarak
ileAldiği
için
asıl
önemli
kısmın
(payload)
okunması
normal
yollardan
mümkün
olmamaktadır.
• SSL
doğası
gereği
“merkezi
güvenlik
“
merkezi
otorite
kavramları
ile
çalış<ğı
için
DPI
sistemleri
şartlar
yerine
geArildiğinde
şifreli
trafiği
de
inceleyebilir,
kayıt
al<na
alabilir.
22. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL/TLS
Nedir,
Nasıl
Çalışır?
• Güvensiz
protokollere
şifreleme
desteği
verme
amaçlı
gelişArilmiş
ara
katman
protokolleridir.
• HTTPS=TLS+HTTP
veya
SSL+HTTP
• Birbirleri
yerine
kullanılsa
da
temelde
farklı
protokollerdir.
• HTTPS/TLS/SSL
sadece
ileAşimde
veri
gizliliği
sağlar,
hedef
sistemin
güvenlik
zaafiyetlerine
karşı
ek
bir
koruma
sağlamaz.
23. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
•
Secure
Sockets
Layer
(SSL)
• Temelleri
Netscape
firması
tarahndan
1994
yılında
a<lan
SSL
aynı
yılda
Acari
olarak
piyasaya
sürüldü
ve
bir
sonraki
yıl
IETF
tarahndan
standart
olarak
Kabul
edildi.
• Aslında
standar<n
asıl
ismi
TLS
olmasına
rağmen
genellikle
SSL
kullanımı
tercih
edilmektedir.
• İlk
zamanlar
sadece
HTTP
trafiğini
şifreleme
amaçlı
gelişArilmiş
olsa
da
günümüzde
TCP,
UDP
tabanlı
tüm
servisleri
şifreleme
amaçlı
kullanılmakta.
24. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
HTTPS
• WEB
trafiğinde
şifreleme
sağlama
amaçlı
gelişArilmiş
protokol
– HTTP+TLS
veya
HTTP+SSL
25. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
Güvenliği
Nelere
Bağlıdır?
• SSL
kullanım
ve
yöneAm
kolaylığı
açısından
merkezi
bir
güvenlik
modeline
sahipAr.
Bizlerin
kime
güveneceği
merkezi
otoriteler
tarahndan
kontrol
edilip
onaylanır.
– Istenildiği
takdirde
otorite
secme
islemini
kullanıcı
yapabilir.
• SSL’in
temel
güvenliği
SerAfika
Otoritesi
olarak
adlandırılan
aracı
kurumlar
ve
bu
kurumlar
bünyesinde
tutulan
gizli
anahtarla
ağlanır.
– Noter’in
mührü
gibi…
• Anahtarın
kaybı
durumunda…?
26. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SerAfika
Otoritesi
• PKI
altyapısının
dayandığı
en
temel
güvenlik
bileşeni
• SerAfika
otoritesi
SSL
kavramının
günümüzde
güvenilir
olarak
kabul
edilmesi
ve
yaygınlaşmasındaki
en
önemli
rollerden
birine
sahipAr.
• SSL’in
güvenliğinde
serAfika
otoritesi
tüm
gücü
elinde
bulundurur.
• SerAfika
otoritesinde
yaşanacak
bir
güvenlik
problemi
sadece
o
serAfika
otoritesini
kullanan
değil,
tüm
SSL
kullanıcılarını
etkileyebilir.
– Diginotar
olayı
27. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SerAfika
Otoriteleri
• En
önemli
kurumlardır
• SerAfika
otoritesinin
ele
geçirilmesi
o
otorite
tarahndan
onaylanan
tüm
serAfikaları
güvensiz
hale
geArir.
28. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
GKA-‐
Government
Key
Access
29. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
10
Puanlık
Al<n
Soru
Kaçımız
yeni
aldığı
bilgisayarında,
tableAnde,
mobil
cihazında
yüklü
olan
güvenilir
olarak
kabul
edilmiş
serAfika
otoritelerini(CA)
kontrol
eˆ?
30. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Şifreli
Trafiği
Takip
ve
İzleme
Yöntemleri
• SSL
bağlan<larında
araya
girme
fikri
ilk
bakışta
zor
haya
imkansız
gibi
görülse
de
gerekli
şartlar
oluşturulduğunda
oldukça
kolay
başarılabilmektedir
• Gerekli
Şartlar:
– İlk
olarak
hedef
sistemin
trafiği
üzerinizden
geçecek
şekilde
kandırılmalıdır/ayarlanmalı.
– Hedef
sistemin
ileAşim
kurmak
istediği
HTTPS
sayfasına
ait
serAfika
bilgileri
ile
sahte
bir
serAfika
oluşturulmalıdır.
• Sahte
oluşturulan
bu
serAfika
tüm
modern
browserlarda
kullanıcıya
uyarı
verecekAr.
• Bazı
browserlar
bu
uyarıyı
oldukça
kullanıcı
yanlısı
(rahatsız
etmeyici
yumusak
bir
mesaj)
bazıları
da
oldukça
rahatsız
edici
ve
problemi
belirAci
uyarılarla
gösterirler.
30
31. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
Nasıl
Alt
Edilir?
• SSL
güvenliğindeki
en
önemli
bileşen
serAfika
otoritesidir.
– SerAfika
otoritesi
tek
başına
işe
yaramaz,
istemci
yazılımları
tarahndan
güvenilir
olarak
kabul
edilmelidir.
• Dünya
üzerindeki
serAfika
otoritelerinden
birinin
hacklenmesi
ve
serAfika
üreAm
için
kullanılan
gizli
anahtarın
ele
geçirilmesi
tüm
dünyadaki
SSL
kullanımını
anlamsız
kılabilir!
– İsAsnalar
mevcuyur.
• Güvenilir
bir
serAfika
otoritesi
tarahndan
onaylanmış
serAfikalar
hatasız
işleme
alınır.
32. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
MITM
Yöntem-‐I
(eski)
Firefox
Internet
Explorer
7
34. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
MITM
Yöntem-‐III
• Client
side
exploitaAon
yöntemi
35. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
MITM
Yöntem-‐IV
• Sahte
ama
geçerli
CA(serAfika
otoritesi)
yetkilerini
kullanarak
tek
taraflı
SSL/TLS
trafiğini
çözme.
36. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Uygulama
37. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Tunus
SerAfika
Otoritesi
Kullanımı
• Tunus
hükümeA
HTTPS
kullanan
bazı
sitelere
üye
muhalif
grupları
belirlemek,
engellemek
için
kendisine
bağlı
serAfika
otoritesi(Microso‰
tarahndan
güvenilir
olarak
kabul
edilen)ni
HTTPS
kullanan
siteler
bağlananları
izlemek
için
kullandı.
– Detaylar
için
wikileaks
belgeleri